Trafic réseau
Rapport de recherche Datadog : Bilan sur l'adoption de l'informatique sans serveur Rapport : Bilan sur l'adoption de l'informatique sans serveur

Trafic réseau

Le trafic est toujours généré par l’Agent et envoyé vers Datadog. Aucune session n’est jamais initialisée à partir de Datadog vers l’Agent :

  • L’intégralité du trafic est envoyé via SSL
  • Destinations des données :

    • Données de l’APM : trace.agent.datadoghq.com
    • Données des live containers : process.datadoghq.com
    • Données des logs pour le trafic TCP : agent-intake.logs.datadoghq.com
    • Toutes les autres données de l’Agent :

      • Agents < 5.2.0 : app.datadoghq.com
      • Agents >= 5.2.0 : <VERSION>-app.agent.datadoghq.com

      Cette décision a été prise après la découverte de la vulnérabilité POODLE. Les endpoints avec contrôle des versions commencent à partir de l’Agent v5.2.0, où chaque version de l’Agent appelle un endpoint différent en fonction du Forwarder. Par exemple, l’Agent v5.2.0 appelle 5-2-0-app.agent.datadoghq.com. Par conséquent, vous devez ajouter *.agent.datadoghq.com à la liste blanche de vos pare-feu.

À partir de la version 6.1.0, l’Agent interroge également l’API de Datadog afin de fournir une fonctionnalité non essentielle, par exemple pour afficher la validité de la clé d’API configurée :

  • Agent >= 7.18.0/6.18.0 : api.datadoghq.com
  • Agent < 7.18.0/6.18.0 : app.datadoghq.com

Tous ces domaines sont des entrées CNAME qui pointent vers un ensemble d’adresses IP statiques. Vous pouvez trouver ces adresses sur les pages suivantes :

  • L’intégralité du trafic est envoyé via SSL
  • Destinations des données :

    • Données de l’APM : trace.agent.datadoghq.eu
    • Données des live containers : process.datadoghq.eu
    • Données des logs pour le trafic TCP : agent-intake.logs.datadoghq.eu
    • Toutes les autres données de l’Agent :

      • Agents < 5.2.0 : app.datadoghq.eu
      • Agents >= 5.2.0 : <VERSION>-app.agent.datadoghq.eu

      Cette décision a été prise après la découverte de la vulnérabilité POODLE. Les endpoints avec contrôle des versions commencent à partir de l’Agent v5.2.0, où chaque version de l’Agent appelle un endpoint différent en fonction du Forwarder. Par exemple, l’Agent v5.2.0 appelle 5-2-0-app.agent.datadoghq.com. Par conséquent, vous devez ajouter *.agent.datadoghq.eu à la liste blanche de vos pare-feu.

À partir de la version 6.1.0, l’Agent interroge également l’API de Datadog afin de fournir une fonctionnalité non essentielle, par exemple pour afficher la validité de la clé d’API configurée :

  • Agent >= 7.18.0/6.18.0 : api.datadoghq.eu
  • Agent < 7.18.0/6.18.0 : app.datadoghq.eu

Tous ces domaines sont des entrées CNAME qui pointent vers un ensemble d’adresses IP statiques. Vous pouvez trouver ces adresses sur les pages suivantes :

Les informations sont structurées au format JSON selon le schéma suivant :

{
    "version": 1,                       // <-- valeur incrémentée chaque fois que cette information est modifiée
    "modified": "YYYY-MM-DD-HH-MM-SS",  // <-- timestamp de la dernière modification
    "agents": {                         // <-- adresses IP utilisées par l'Agent pour envoyer des métriques à Datadog
        "prefixes_ipv4": [              // <-- liste des blocs CIDR IPv4
            "a.b.c.d/x",
            ...
        ],
        "prefixes_ipv6": [              // <-- liste des blocs CIDR IPv6
            ...
        ]
    },
    "apm": {...},                       // <-- même structure que « agents », mais il s'agit des adresses IP utilisées pour les données de l'Agent APM
    "logs": {...},                      // <-- même chose, mais pour les données de l'Agent de log
    "process": {...},                   // <-- même chose, mais pour les données de l'Agent de processus
    "api": {...},                       // <-- même chose, mais pour une fonctionnalité non essentielle de l'Agent (demande d'informations à partir de l'API)
    "webhooks": {...}                   // <-- non utilisé pour le trafic de l'Agent (adresses IP sources de l'Agent utilisées pour l'envoi des webhooks)
}

Chaque section possède un endpoint dédié, par exemple :

Chaque section possède un endpoint dédié, par exemple :

Remarque

Toutes ces adresses IP doivent être ajoutées à la liste blanche. Bien qu’elles ne soient pas toutes actives en même temps, les adresses utilisées sont amenées à changer en raison des opérations de gestion et de maintenance réseau effectuées régulièrement.

Ports ouverts

L’intégralité du trafic sortant est protégé par SSL et envoyé via TCP/UDP.

Ouvrez les ports suivants pour profiter de toutes les fonctionnalités de l’Agent :

  • Ports sortants :

  • Ports entrants :

    • 8125/udp : DogStatsd ; sauf si non_local_traffic est défini sur true. Ce port est disponible sur localhost :

      • 127.0.0.1
      • ::1
      • fe80::1
    • 8126/tcp : port pour le récepteur de l’APM

    • 17123/tcp : Forwarder de l’Agent, utilisé pour la mise en mémoire tampon du trafic en cas de perte de communication entre l’Agent et Datadog

    • 17124/tcp : redirecteur pour la prise en charge de Graphite (facultatif)

Utilisation d’un proxy

Pour obtenir des instructions détaillées sur la configuration d’un proxy, consultez la section dédiée.

Pour aller plus loin