ネットワークトラフィック

トラフィックは、常に Agent から Datadog の方向に開始されます。Datadog から Agent の方向にセッションが開始されることはありません。

概要

すべての Agent トラフィックは SSL で送信されます。送信先は、Datadogのサービスとサイトに依存します。サイトに応じた送信先を確認するには、右側の SITE セレクタをご利用ください。

送信先

APM
trace.agent.
instrumentation-telemetry-intake.
ライブコンテナ & ライブプロセス
process.
ネットワークデバイスモニタリング
ndm-intake.
snmp-traps-intake.
ndmflow-intake.
オーケストレーター
orchestrator.
プロファイリング
intake.profile.
リアルユーザーモニタリング (RUM)
rum.
session-replay.
Synthetics プライベートロケーション
ワーカーのバージョン 1.5.0 以上 intake.synthetics. は構成に使用する唯一のエンドポイントです。
Worker のバージョン 0.1.6 以降の API テスト結果 intake.synthetics.
Worker のバージョン 0.2.0 以降のブラウザテスト結果 intake-v2.synthetics.
Worker のバージョン 0.1.5 以降の API テスト結果 api.
データベースモニタリング
dbm-metrics-intake.
dbquery-intake.
ログ & HIPAA ログ
TCP: agent-intake.logs.datadoghq.com
HTTP: agent-http-intake.logs.datadoghq.com
その他: ログのエンドポイントを参照してください
HIPAA ログレガシー
tcp-encrypted-intake.logs.datadoghq.com
lambda-tcp-encrypted-intake.logs.datadoghq.com
gcp-encrypted-intake.logs.datadoghq.com
http-encrypted-intake.logs.datadoghq.com
ログ & HIPAA ログ
TCP: agent-intake.logs.datadoghq.eu
HTTP: agent-http-intake.logs.datadoghq.eu
その他: ログのエンドポイントを参照してください
HIPAA ログレガシー
tcp-encrypted-intake.logs.datadoghq.eu
lambda-tcp-encrypted-intake.logs.datadoghq.eu
gcp-encrypted-intake.logs.datadoghq.eu
http-encrypted-intake.logs.datadoghq.eu
ログ & HIPAA ログ
HTTP: agent-http-intake.logs.us3.datadoghq.com
その他: ログのエンドポイントを参照してください
HIPAA ログレガシー
lambda-tcp-encrypted-intake.logs.us3.datadoghq.com
gcp-encrypted-intake.logs.us3.datadoghq.com
http-encrypted-intake.logs.us3.datadoghq.com
ログ & HIPAA ログ
HTTP: agent-http-intake.logs.us5.datadoghq.com
その他: ログのエンドポイントを参照してください
HIPAA ログレガシー
lambda-tcp-encrypted-intake.logs.us5.datadoghq.com
gcp-encrypted-intake.logs.us5.datadoghq.com
http-encrypted-intake.logs.us5.datadoghq.com
ログ & HIPAA ログ
HTTP: agent-http-intake.logs.ap1.datadoghq.com
その他: ログのエンドポイントを参照してください
ログ & HIPAA ログ
HTTP: agent-http-intake.logs.ddog-gov.com
その他: ログのエンドポイントを参照してください
HIPAA ログレガシー
lambda-tcp-encrypted-intake.logs.ddog-gov.com
gcp-encrypted-intake.logs.ddog-gov.com
http-encrypted-intake.logs.ddog-gov.com
その他すべての Agent データ
<VERSION>-app.agent.
例えば、Agent の v7.31.0 は 7-31-0-app.agent. にレポートします。そのため、ファイアウォールの包含リストに *.agent. を追加する必要があります。
v6.1.0 以降、Agent は Datadog の API にもクエリを実行、重要ではない機能 (たとえば、構成された API キーの有効性の表示など) を提供します:
Agent >= 7.18.0/6.18.0 api.
Agent < 7.18.0/6.18.0 app.

これらのドメインは、一連の静的 IP アドレスを指す CNAME レコードです。このアドレスは、https://ip-ranges. から取得できます。

この情報は、次のスキーマに従って JSON として構造化されます。

{
    "version": 1,                          // <-- この情報が変更される場合に毎回インクリメント
    "modified": "YYYY-MM-DD-HH-MM-SS",     // <-- 最終更新時のタイムスタンプ
    "agents": {                            // <-- Agent から Datadog へのメトリクス送信に用いる IP
        "prefixes_ipv4": [                 // <-- IPv4 CIDR ブロックのリスト
            "a.b.c.d/x",
            ...
        ],
        "prefixes_ipv6": [                 // <-- IPv6 CIDR ブロックのリスト
            ...
        ]
    },
    "api": {...},                          // <-- 重要でない Agent 機能と同様 (API からの情報のクエリ)
    "apm": {...},                          // <-- APM Agent データに使用される IP ("agents" と同構造)
    "logs": {...},                         // <-- Agent データのログと同様
    "process": {...},                      // <-- Agent データのプロセスと同様
    "orchestrator": {...},                 // <-- Agent データのプロセスと同様
    "synthetics": {...},                   // <-- Agent のトラフィックでは不使用 (Synthetic テストのためのボットの Datadog ソース IP)
    "synthetics-private-locations": {...}, // <-- Agent のトラフィックでは不使用 (Synthetics プライベートロケーションのための Datadog 取り込み IP)
    "webhooks": {...}                      // <-- Agent のトラフィックでは不使用 (webhook を送信する Datadog のソース IP)
}

各セクションには専用のエンドポイントがあります。例:

  • TCP 経由でログデータを受信するために使用される IP の場合は https://ip-ranges./logs.json
  • APM データの受信に使用される IP の場合は https://ip-ranges./apm.json

包含

これらの ip-ranges のすべてを包含リストに登録する必要があります。特定時点では一部だけがアクティブですが、定期的なネットワーク操作や保守のために、セット全体の中で経時変化があります。

ポートのオープン

すべてのアウトバウンドトラフィックは、TCP / UDP を介して SSL で送信されます。

ファイアウォールルールまたは同様のネットワーク制限を使用して、Agent がお客様のアプリケーションまたは信頼できるネットワークソースからのみアクセス可能であることを確認してください。信頼できないアクセスにより、悪意のある行為者は Datadog アカウントにトレースやメトリクスを書き込んだり、構成やサービスに関する情報を取得したりすることを含むがこれに限定されない、いくつかの侵略的なアクションを実行できるようになります。

Agent のすべての機能を利用するには、以下のポートを開きます。

アウトバウンド

443/tcp
大半の Agent データ (メトリクス、APM、ライブプロセス/コンテナなど) 用のポート
123/udp
NTP 用のポート (詳細は、NTP の重要性に関するドキュメントを参照してください)。
デフォルトの NTP ターゲットを参照してください。

10516/tcp :TCP 経由のログ収集用ポート。
その他の接続タイプについてはログのエンドポイントを参照してください。

10255/tcp
Kubernetes HTTP Kubelet 用のポート
10250/tcp
Kubernetes HTTPS Kubelet 用のポート
443/tcp
大半の Agent データ (メトリクス、APM、ライブプロセス/コンテナなど) 用のポート
123/udp
NTP 用のポート (詳細は、NTP の重要性に関するドキュメントを参照してください)。
デフォルトの NTP ターゲットを参照してください。

443/tcp :TCP 経由のログ収集用ポート。
その他の接続タイプについてはログのエンドポイントを参照してください。

10255/tcp
Kubernetes HTTP Kubelet 用のポート
10250/tcp
Kubernetes HTTPS Kubelet 用のポート
443/tcp
大半の Agent データ (メトリクス、APM、ライブプロセス/コンテナなど) 用のポート
123/udp
NTP 用のポート (詳細は、NTP の重要性に関するドキュメントを参照してください)。
デフォルトの NTP ターゲットを参照してください。
10255/tcp
Kubernetes HTTP Kubelet 用のポート
10250/tcp
Kubernetes HTTPS Kubelet 用のポート

インバウンド

Agent のサービスがホスト内のローカルで相互通信する場合にのみ使用されます。

5000/tcp
go_expvar server 用のポート
5001/tcp
IPC API がリスニングするポート
5002/tcp
Agent ブラウザ GUI 用のポート
5012/tcp
APM go_expvar server 用のポート
6062/tcp
Process Agent のデバッグエンドポイント用のポート。
6162/tcp
Process Agent のランタイム設定を構成するためのポート。
8125/udp
DogStatsD 用のポート。ただし、dogstatsd_non_local_traffic が true に設定されていない場合。このポートは、次のローカルホストで利用できます: 127.0.0.1::1fe80::1
8126/tcp
APM Receiver 用のポート

アウトバウンド

443/tcp
大半の Agent データ (メトリクス、APM、ライブプロセス/コンテナなど) 用のポート
123/udp
NTP 用のポート (詳細は、NTP の重要性に関するドキュメントを参照してください)。
デフォルトの NTP ターゲットを参照してください。

インバウンド

6062/tcp
Process Agent のデバッグエンドポイント用のポート。
6162/tcp
Process Agent のランタイム設定を構成するためのポート。
8125/udp
DogStatsD 用のポート。ただし、dogstatsd_non_local_traffic が true に設定されていない場合。このポートは、次のローカルホストで利用できます: 127.0.0.1::1fe80::1
8126/tcp
APM Receiver 用のポート
17123/tcp
Agent Forwarder。Agent と Datadog の間でネットワークスプリットが発生した場合にトラフィックのバッファリングに使用されます
17124/tcp
オプションの graphite アダプター

ポートの構成

デフォルトのポートがネットワーク上の既存のサービスによって既に使用されているため、インバウンドポートを変更する必要がある場合、datadog.yamlコンフィギュレーションファイルを編集してください。このファイルの Advanced Configuration セクションに、ほとんどのポートが記載されています。

datadog.yaml

## @param expvar_port - 整数 - オプション - デフォルト: 5000
## @env DD_EXPVAR_PORT - 整数 - オプション - デフォルト: 5000
## go_expvar サーバーのポート。
#
# expvar_port: 5000

## @param cmd_port - 整数 - オプション - デフォルト: 5001
## @env DD_CMD_PORT - 整数 - オプション - デフォルト: 5001
## IPC api がリッスンするポート。
#
# cmd_port: 5001

## @param GUI_port - 整数 - オプション
## @env DD_GUI_PORT - 整数 - オプション
## ブラウザ GUI を提供するためのポート。
## 'GUI_port: -1' を設定すると、GUI が完全にオフになります
## デフォルト:
##  * Windows & macOS : `5002`
##  * Linux: `-1`
##
#
# GUI_port: <GUI_PORT>

APM レシーバーと DogStatsD ポートは、それぞれ datadog.yaml コンフィギュレーションファイルの Trace Collection ConfigurationDogStatsD Configuration セクションに配置されています。

datadog.yaml

## @param dogstatsd_port - 整数 - オプション - デフォルト: 8125
## @env DD_DOGSTATSD_PORT - 整数 - オプション - デフォルト: 8125
## Agent DogStatsD ポートをオーバーライドします。
## 注: クライアントが同じ UDP ポートに送信していることを確認してください。
#
# dogstatsd_port: 8125

[...]

## @param receiver_port - 整数 - オプション - デフォルト: 8126
## @env DD_APM_RECEIVER_PORT - 整数 - オプション - デフォルト: 8126
## トレースレシーバーがリッスンするポート。
## 0 を設定すると、HTTP レシーバーが無効になります。
#
# receiver_port: 8126
ここで DogStatsD ポートや APM レシーバーポートの値を変更した場合、対応するポートの APM トレーシングライブラリの構成も変更する必要があります。お使いの言語のライブラリ構成のドキュメントにあるポートの構成に関する情報をご覧ください。

プロキシの使用

プロキシの設定に関する詳細なコンフィギュレーションガイドについては、Agent プロキシコンフィギュレーションを参照してください。

データバッファリング

ネットワークが使用不可状態になった場合、Agent はメモリにメトリクスを保存します。 メトリクスを保存できる最大メモリ使用量は、コンフィギュレーション設定の forwarder_retry_queue_payloads_max_size で定義します。この制限値に達すると、メトリクスが削除されます。

Agent の v7.27.0 以降では、メモリ制限に達した場合にディスクにメトリクスを保存することができます。forwarder_storage_max_size_in_bytes にストレージスペースの最大量 (バイト) を表す正の値を設定してこの容量を有効化します。Agent はこの値を使用してディスクにメトリクスを保存します。

メトリクスは forwarder_storage_path 設定で定義されたフォルダーに格納されます。デフォルトでは Unix システムの場合 /opt/datadog-agent/run/transactions_to_retry、Windows の場合 C:\ProgramData\Datadog\run\transactions_to_retry に設定されています。

ストレージスペースの不足を避けるために、ストレージスペースの使用量合計が95パーセント未満の場合のみAgentはメトリクスをディスクに保存します。この制限は forwarder_storage_max_disk_ratio 設定で定義されます。

その他の参考資料