Trafic réseau

Docs > Agent > Configuration de l'Agent > Trafic réseau

Cette traduction n'est pas à jour. Pour consulter la dernière version en anglais, cliquez ici

Aperçu

Le trafic est toujours initié par l'Agent vers Datadog. Aucune session n'est jamais initiée de Datadog vers l'Agent.

Tout le trafic de l’Agent est envoyé via SSL. La destination dépend du service et du site Datadog. Pour voir les destinations basées sur votre site Datadog, cliquez sur le sélecteur DATADOG SITE à droite.

Installation

Ajoutez les domaines suivants à votre liste d’inclusion pour permettre l’installation de l’Agent :

install.datadoghq.com
yum.datadoghq.com
keys.datadoghq.com
apt.datadoghq.com
windows-agent.datadoghq.com

Destinations

À partir de la version 7.67.0, l'Agent convertit les sites Datadog en noms de domaine entièrement qualifiés (en ajoutant un point à la fin du domaine) pour réduire le nombre de requêtes DNS. Par exemple, il envoie des charges utiles APM à trace.agent.datadoghq.com..
Ce comportement peut être désactivé dans la version 7.72.0 et ultérieure en définissant convert_dd_site_fqdn.enabled sur false dans la configuration, ou avec la variable d'environnement DD_CONVERT_DD_SITE_FQDN_ENABLED=false.

APM: trace.agent.
instrumentation-telemetry-intake.
LLM Observabilité: llmobs-intake.
Images de Conteneurs: contimage-intake.
Conteneurs en Direct, Processus en Direct, Surveillance du Réseau Cloud, Surveillance Universelle des Services: process.
Surveillance des Dispositifs Réseau: ndm-intake.
snmp-traps-intake.
ndmflow-intake.
Chemin Réseau: netpath-intake.
Orchestrateur: orchestrator.
contlcycle-intake.
Profilage: intake.profile.
Surveillance des Utilisateurs Réels (RUM)
Vulnérabilités de Sécurité Cloud: sbom-intake.
Emplacements Privés de Surveillance Synthétique: Travailleurs Synthétiques v1.5.0 ou ultérieur : intake.synthetics. est le seul point de terminaison que vous devez configurer.
Résultats des tests API pour le Travailleur Synthétique > v0.1.6 : intake.synthetics.
Résultats des tests de navigateur pour le Travailleur Synthétique > v0.2.0 : intake-v2.synthetics.
Résultats des tests API pour le Travailleur Synthétique < v0.1.5 : api.

TCP log collection is not supported. Datadog provides no delivery or reliability guarantees when using TCP, and log data may be lost without notice. For reliable ingestion, use the HTTP intake endpoint, an official Datadog Agent, or forwarder integration instead. For more information, see Log Collection.

Logs & logs HIPAA: (Obsolète) TCP :
HTTP :
Autre : Voir points de terminaison des journaux
Journaux HIPAA hérités (Obsolète, TCP non pris en charge)
Métriques, Vérifications de service, Événements et autres métadonnées de l’Agent: <VERSION>-app.agent.
Par exemple, l’Agent v7.31.0 rapporte à 7-31-0-app.agent.. Vous devez ajouter *.agent. à votre liste d’inclusion dans votre(s) pare-feu(s).
Depuis v6.1.0, l’Agent interroge également l’API de Datadog pour fournir des fonctionnalités non critiques (Par exemple, afficher la validité de la clé API configurée) :
Agent v7.18.0 ou 6.18.0 et versions ultérieures : api.
Agent < v7.18.0 ou 6.18.0 : app.
Flare de l’Agent: <VERSION>-flare.agent.
Par exemple, l’Agent v7.31.0 envoie des données de flare à 7-31-0-flare.agent.. Vous devez ajouter *.agent. à votre liste d’inclusion dans votre(s) pare-feu(s).

Adresses IP statiques

Tous ces domaines sont des enregistrements CNAME pointant vers un ensemble d’adresses IP statiques. Ces adresses peuvent être trouvées à https://ip-ranges..

Les informations sont structurées au format JSON selon le schéma suivant :

{
    "version": 1,                          // <-- incremented every time this information is changed
    "modified": "YYYY-MM-DD-HH-MM-SS",     // <-- timestamp of the last modification
    "agents": {                            // <-- the IPs used by the Agent to submit metrics to Datadog
        "prefixes_ipv4": [                 // <-- list of IPv4 CIDR blocks
            "a.b.c.d/x",
            ...
        ],
        "prefixes_ipv6": [                 // <-- list of IPv6 CIDR blocks
            ...
        ]
    },
    "api": {...},                          // <-- the IPs used by the Agent for non-critical functionality (querying information from API)
    "apm": {...},                          // <-- the IPs used by the Agent to submit APM data to Datadog
    "logs": {...},                         // <-- the IPs used by the Agent to submit logs to Datadog
    "process": {...},                      // <-- the IPs used by the Agent to submit process data to Datadog
    "orchestrator": {...},                 // <-- the IPs used by the Agent to submit container data to Datadog
    "remote-configuration": {...},         // <-- the IPs used by the Agent to retrieve its dynamic configuration
    "synthetics": {...},                   // <-- the source IPs used by Synthetic workers (not used by the Agent)
    "synthetics-private-locations": {...}, // <-- the IPs used by Synthetics Private Locations workers to submit data to Datadog (not used by the Agent)
    "webhooks": {...}                      // <-- the source IPs used by Datadog to connect to 3rd party infrastructure over HTTP (not used by the Agent)
}

Chaque section possède un endpoint dédié sur, par exemple :

https://ip-ranges./logs.json pour les IP utilisées pour recevoir des données de journaux via TCP.
https://ip-ranges./apm.json pour les IP utilisées pour recevoir des données APM.

Inclusion

Ajoutez tous les ip-ranges à votre liste d’inclusion. Bien qu’un sous-ensemble soit actif à tout moment, il existe des variations dans l’ensemble en raison du fonctionnement et de la maintenance réguliers du réseau.

Ports ouverts

Tout le trafic sortant est envoyé via SSL par TCP ou UDP.

Assurez-vous que l'Agent est uniquement accessible par vos applications ou des sources réseau de confiance en utilisant une règle de pare-feu ou une restriction réseau similaire. Un accès non fiable peut permettre à des acteurs malveillants d'effectuer plusieurs actions invasives, y compris, mais sans s'y limiter, l'écriture de traces et de métriques dans votre compte Datadog, ou l'obtention d'informations sur votre configuration et vos services.

Ouvrez les ports suivants pour bénéficier de toutes les fonctionnalités de l’Agent :

Sortant

Produit/Fonctionnalité	Port	Protocole	Description
Agent APM Conteneurs Processus en direct Métriques Surveillance du réseau Cloud Surveillance des services universels	443	TCP	La plupart des données de l’Agent utilisent le port 443.
Autoscaling d’Agent personnalisé	8443	TCP
Collecte de journaux		(Obsolète) TCP	Journalisation via TCP. Remarque : La collecte de journaux TCP n’est pas prise en charge. Datadog ne fournit aucune garantie de livraison ou de fiabilité lors de l’utilisation de TCP, et les données de journal peuvent être perdues sans préavis. Pour une ingestion fiable, utilisez le point de terminaison d’entrée HTTP, un Agent Datadog officiel ou une intégration de transfert à la place. Pour d’autres types de connexion, voir points de terminaison de journaux.
NTP	123	UDP	Protocole de temps réseau (NTP). Voir cibles NTP par défaut. Pour des informations sur le dépannage NTP, voir problèmes NTP.

Produit/Fonctionnalité	Port	Protocole	Description
Agent APM Conteneurs Processus en direct Métriques Surveillance du réseau Cloud Surveillance des services universels	443	TCP	La plupart des données de l’Agent utilisent le port 443.
NTP	123	UDP	Protocole de temps réseau (NTP). Voir cibles NTP par défaut. Pour des informations sur le dépannage de NTP, voir problèmes NTP.

Entrant

Ports utilisés pour les services de l’Agent qui communiquent entre eux en local au sein du host uniquement

Produit/Fonctionnalité	Port	Protocole	Description
Interface graphique de l’agent navigateur	5002	TCP
Récepteur APM	8126	TCP	Inclut le traçage et le profileur.
DogStatsD	8125	UDP	Port pour DogStatsD sauf si `dogstatsd_non_local_traffic` est défini sur vrai. Ce port est disponible sur localhost IPv4 : `127.0.0.1`.
serveur go_expvar (APM)	5012	TCP	Pour plus d’informations, voir la documentation d’intégration go_expar.
serveur d’intégration go_expvar	5000	TCP	Pour plus d’informations, voir la documentation d’intégration go_expar.
API IPC	5001	TCP	Port utilisé pour la communication entre processus (IPC).
Débogage de l’agent de processus	6062	TCP	Points de terminaison de débogage pour l’agent de processus.
Exécution de l’agent de processus	6162	TCP	Paramètres de configuration d’exécution pour l’agent de processus.

Configurer les ports

Si vous devez changer un port entrant parce que le port par défaut est déjà utilisé par un service existant sur votre réseau, modifiez le fichier de configuration datadog.yaml. Vous pouvez trouver la plupart des ports dans la section Configuration avancée du fichier :

datadog.yaml

## @param expvar_port - integer - optional - default: 5000 {#param-expvar-port-integer-optional-default-5000}
## @env DD_EXPVAR_PORT - integer - optional - default: 5000 {#env-dd-expvar-port-integer-optional-default-5000}
## The port for the go_expvar server. {#the-port-for-the-go-expvar-server}
#
# expvar_port: 5000 {#expvar-port-5000}

## @param cmd_port - integer - optional - default: 5001 {#param-cmd-port-integer-optional-default-5001}
## @env DD_CMD_PORT - integer - optional - default: 5001 {#env-dd-cmd-port-integer-optional-default-5001}
## The port on which the IPC api listens. {#the-port-on-which-the-ipc-api-listens}
#
# cmd_port: 5001 {#cmd-port-5001}

## @param GUI_port - integer - optional {#param-gui-port-integer-optional}
## @env DD_GUI_PORT - integer - optional {#env-dd-gui-port-integer-optional}
## The port for the browser GUI to be served. {#the-port-for-the-browser-gui-to-be-served}
## Setting 'GUI_port: -1' turns off the GUI completely {#setting-gui-port-1-turns-off-the-gui-completely}
## Default is: {#default-is}
##  * Windows & macOS : `5002` {#windows-macos-5002}
##  * Linux: `-1` {#linux-1}
##
#
# GUI_port: <GUI_PORT> {#gui-port}

Le récepteur APM et les ports DogStatsD se trouvent dans les sections Configuration de collecte de traces et Configuration de DogStatsD du fichier de configuration datadog.yaml, respectivement :

datadog.yaml

## @param dogstatsd_port - integer - optional - default: 8125 {#param-dogstatsd-port-integer-optional-default-8125}
## @env DD_DOGSTATSD_PORT - integer - optional - default: 8125 {#env-dd-dogstatsd-port-integer-optional-default-8125}
## Override the Agent DogStatsD port. {#override-the-agent-dogstatsd-port}
## Note: Make sure your client is sending to the same UDP port. {#note-make-sure-your-client-is-sending-to-the-same-udp-port}
#
# dogstatsd_port: 8125 {#dogstatsd-port-8125}

[...]

## @param receiver_port - integer - optional - default: 8126 {#param-receiver-port-integer-optional-default-8126}
## @env DD_APM_RECEIVER_PORT - integer - optional - default: 8126 {#env-dd-apm-receiver-port-integer-optional-default-8126}
## The port that the trace receiver should listen on. {#the-port-that-the-trace-receiver-should-listen-on}
## Set to 0 to disable the HTTP receiver. {#set-to-0-to-disable-the-http-receiver}
#
# receiver_port: 8126 {#receiver-port-8126}

Si vous changez la valeur du port DogStatsD ou du port du récepteur APM ici, vous devez également changer la configuration de la bibliothèque de traçage APM pour le port correspondant. Voir les informations sur la configuration des ports dans la documentation de configuration de la bibliothèque pour votre langue.

Utilisation de proxies

Pour obtenir des instructions détaillées sur la configuration d’un proxy, consultez la section Configuration de l’Agent pour un proxy.

Mise en mémoire tampon des données

Si le réseau devient indisponible, l’Agent stocke les métriques en mémoire. L’utilisation maximale de la mémoire pour stocker les métriques est définie par le paramètre de configuration forwarder_retry_queue_payloads_max_size. Lorsque cette limite est atteinte, les métriques sont supprimées.

L’Agent v7.27.0 ou version ultérieure stocke les métriques sur disque lorsque la limite de mémoire est atteinte. Activez cette fonctionnalité en définissant forwarder_storage_max_size_in_bytes sur une valeur positive indiquant la quantité maximale d’espace de stockage, en octets, que l’Agent peut utiliser pour stocker les métriques sur disque.

Les métriques sont stockées dans le dossier défini par le paramètre forwarder_storage_path, qui est par défaut /opt/datadog-agent/run/transactions_to_retry sur les systèmes Unix, et C:\ProgramData\Datadog\run\transactions_to_retry sur Windows.

Pour éviter de manquer d’espace de stockage, l’Agent stocke les métriques sur disque uniquement si l’espace de stockage total utilisé est inférieur à 80 pour cent. Cette limite est définie par le paramètre forwarder_storage_max_disk_ratio.

Installation de l’Opérateur Datadog

Si vous installez l’Opérateur Datadog dans un environnement Kubernetes avec une connectivité limitée, vous devez autoriser les points de terminaison suivants pour le port TCP 443, en fonction de votre registre :

registry.datadoghq.com (Registre de conteneurs Datadog)
- us-docker.pkg.dev/datadog-prod/public-images (peut recevoir des redirections de registry.datadoghq.com)
gcr.io/datadoghq (GCR US)
eu.gcr.io/datadoghq (GCR Europe)
asia.gcr.io/datadoghq (GCR Asie)
datadoghq.azurecr.io (Azure)
public.ecr.aws/datadog (AWS)
docker.io/datadog (DockerHub)