ネットワークトラフィック
Dash が新機能を発表!インシデントマネジメント、Continuous Profiler など多数の機能が追加されました! Dash イベントで発表された新機能!

ネットワークトラフィック

トラフィックは、常に Agent から Datadog の方向に開始されます。Datadog から Agent の方向にセッションが開始されることはありません。

  • すべてのトラフィックは SSL で送信されます。
  • 送信先は以下のとおりです。

    • APM データ: trace.agent.datadoghq.com
    • ライブコンテナデータ: process.datadoghq.com
    • TCP のトラフィックの場合、ログ データは agent-intake.logs.datadoghq.com
    • その他の Agent データ:

      • Agents < 5.2.0: app.datadoghq.com
      • Agents >= 5.2.0 <VERSION>-app.agent.datadoghq.com

      これは、脆弱性 (POODLE) の問題に対応して決定されました。Agent v5.2.0 以降、エンドポイントの先頭にはバージョンが付き、Agent の各バージョンは、 フォワーダー のバージョンに基づいて異なるエンドポイントを呼び出します。たとえば、Agent v5.2.0 は 5-2-0-app.agent.datadoghq.com を呼び出します。したがって、ファイアウォールで *.agent.datadoghq.com をホワイトリストに登録する必要があります。

v6.1.0 以降、Agent は Datadog の API にもクエリを実行、重要ではない機能(たとえば、構成された API キーの有効性の表示など)を提供します。

  • Agent >= 7.18.0/6.18.0 api.datadoghq.com
  • Agent < 7.18.0/6.18.0 app.datadoghq.com

これらのドメインは、一連の静的 IP アドレスを指す CNAME レコードです。このアドレスは、次の場所から取得できます。

  • すべてのトラフィックは SSL で送信されます。
  • 送信先は以下のとおりです。

    • APM データ: trace.agent.datadoghq.eu
    • ライブコンテナデータ: process.datadoghq.eu
    • TCP のトラフィックの場合、ログデータは agent-intake.logs.datadoghq.eu
    • その他の Agent データ:

      • Agents < 5.2.0 app.datadoghq.eu
      • Agents >= 5.2.0 <バージョン>-app.agent.datadoghq.eu

      これは、脆弱性 (POODLE) の問題に対応して決定されました。Agent v5.2.0 以降、エンドポイントの先頭にはバージョンが付き、Agent の各バージョンは、 フォワーダー のバージョンに基づいて異なるエンドポイントを呼び出します。たとえば、Agent v5.2.0 は 5-2-0-app.agent.datadoghq.com を呼び出します。したがって、ファイアウォールで *.agent.datadoghq.eu をホワイトリストに登録する必要があります。

v6.1.0 以降、Agent は Datadog の API にもクエリを実行、重要ではない機能(たとえば、構成された API キーの有効性の表示など)を提供します。

  • Agent >= 7.18.0/6.18.0 api.datadoghq.eu
  • Agent < 7.18.0/6.18.0 app.datadoghq.eu

これらのドメインは、一連の静的 IP アドレスを指す CNAME レコードです。このアドレスは、次の場所から取得できます。

この情報は、次のスキーマに従って JSON として構造化されます。

{
    "version": 1,                       // <-- この情報が変更される場合に毎回インクリメント
    "modified": "YYYY-MM-DD-HH-MM-SS",  // <-- 最終更新時のタイムスタンプ
    "agents": {                         // <-- Agent から Datadog へのメトリクス送信に用いる IP
        "prefixes_ipv4": [              // <-- IPv4 CIDR ブロックのリスト
            "a.b.c.d/x",
            ...
        ],
        "prefixes_ipv6": [              // <-- IPv6 CIDR ブロックのリスト
            ...
        ]
    },
    "api": {...}, // <-- 重要でない Agent 機能と同様 (API からの情報のクエリ)
    "apm": {...},                       // <-- APM Agent データに使用される IP ("agents" と同構造)
    "logs": {...},                      // <-- Agent データのログと同様
    "process": {...},                   // <-- Agent データのプロセスと同様
    "synthetics": {...},                 // <-- Agent のトラフィックでは不使用 (Synthetic テストのためのボットの Datadog ソース IP)
    "webhooks": {...}                   // <-- Agent のトラフィックでは不使用 (webhook を送信する Datadog のソース IP)
}

各セクションには専用のエンドポイントがあります。例:

各セクションには専用のエンドポイントがあります。例:

これらの IP のすべてをホワイトリストに登録する必要があります。特定時点では一部だけがアクティブですが、定期的なネットワーク操作や保守のために、セット全体の中で経時変化があります。

ポートのオープン

すべてのアウトバウンドトラフィックは、TCP/UDP と SSL を使用して送信されます。

Agent のすべての機能を利用するには、以下のポートを開きます。

  • アウトバウンド:

  • インバウンド (Agent サービスがホスト内でローカルに相互通信するためにのみ使用されます):

    • 5000/tcp: go_expvar サーバー用のポート
    • 5001/tcp: IPC API がリスニングするポート
    • 5002/tcp: Agent ブラウザ GUI を提供するためのポート
    • 8125/udp: dogstatsd. ただし、dogstatsd_non_local_traffic が true に設定されていない場合。このポートは、次のローカルホストで利用できます。

      • 127.0.0.1
      • ::1
      • fe80::1
    • 8126/tcp: APM Receiver 用のポート

  • アウトバウンド:

  • インバウンド:

    • 8125/udp: DogStatsd. ただし、non_local_traffic が true に設定されていない場合。このポートは、次のローカルホストで利用できます。

      • 127.0.0.1
      • ::1
      • fe80::1
    • 8126/tcp: APM Receiver 用のポート

    • 17123/tcp: Agent フォワーダー。Agent と Datadog の間でネットワークスプリットが発生した場合にトラフィックのバッファリングに使用されます。

    • 17124/tcp: オプションの graphite アダプター

プロキシの使用

プロキシの設定に関する詳細なコンフィギュレーションガイドについては、Agent プロキシコンフィギュレーションを参照してください。

その他の参考資料