AWS PrivateLink を介して Datadog に接続する
Dash が新機能を発表!インシデントマネジメント、Continuous Profiler など多数の機能が追加されました! Dash イベントで発表された新機能!

AWS PrivateLink を介して Datadog に接続する

Datadog は us-east-1で AWS PrivateLink エンドポイントを公開しています。

このガイドでは Datadog で AWS PrivateLink を構成および使用する方法についてご説明します。

概要

まずはローカルの Datadog Agent がデータを送信可能な VPC の内部エンドポイントを構成します。その後、VPC エンドポイントを Datadog の VPC 内にあるエンドポイントと紐付けます。

VPC エンドポイントを作成する

  1. AWS コンソールを開き、新しい VPC エンドポイントを作成します。
  2. Find service by name を選択します。
  3. Service Name テキストボックスに、AWS PrivateLink を構築したいサービスの名前を入力します。

    Datadog メトリクスのサービス名
    com.amazonaws.vpce.us-east-1.vpce-svc-056576c12b36056ca
    ForwarderDatadog ログのサービス名
    Datadog Agentcom.amazonaws.vpce.us-east-1.vpce-svc-0a2aef8496ee043bf
    Lambda またはカスタムフォワーダーcom.amazonaws.vpce.us-east-1.vpce-svc-06394d10ccaf6fb97
    Datadog API のサービス名
    com.amazonaws.vpce.us-east-1.vpce-svc-02a4a57bc703929a0
    Datadog プロセスモニタリングサービス名
    com.amazonaws.vpce.us-east-1.vpce-svc-05316fe237f6d8ddd
    Datadog トレースサービス名
    com.amazonaws.vpce.us-east-1.vpce-svc-07672d13af0033c24

  4. verify ボタンをクリックします。Service name found と表示されない場合は、Datadog のサポートチームにお問い合わせください。

  5. Datadog の VPC サービスエンドポイントと紐付ける VPC およびサブネットを選択します。

  6. Enable DNS name (Enable for this endpoint) にチェックが入っていることを確認してください。

  7. 任意のセキュリティグループを選択し、この VPC エンドポイントにトラフィックを送信できる送信元の範囲を指定します。

    : VPC エンドポイントを介して Datadog にログ転送を行う場合は、セキュリティグループがポート 443 のインバウンドおよびアウトバンドトラフィックを許容している必要があります

  8. 画面下部の Create endpoint をクリックします。作成が完了すると以下のようなメッセージが表示されます。

  9. VPC エンドポイントの ID をクリックしてステータスを確認します。

  10. ステータスが Pending から Available に変わるまでお待ちください。約 10 分要する場合があります。

Available と表示されると、AWS PrivateLink の使用を開始できます。次に Datadog Agent、Lambda Forwarder、また Datadog へのデータ受け渡しを行うその他のクライアントに応じた新しいターゲットエンドポイントでAgent のコンフィギュレーションを更新します。

クライアントのコンフィギュレーション

以下のタブで、新しい VPC エンドポイントを使ってメトリクスとログを Datadog に送信する方法、また Datadog の API で必要となる新しいホスト URL についての詳細をご確認いただけます。

Agent 6.0 以上で使用可能

この新しい VPC エンドポイントを使ってメトリクスを Datadog に転送するには、pvtlink.agent.datadoghq.com を新しいメトリクスの宛先として構成を行います。

  1. Agent の datadog.yaml コンフィギュレーションファイルdd_url パラメーターを更新します。

    dd_url: https://pvtlink.agent.datadoghq.com
  2. Agent を再起動し、AWS PrivateLink 経由で Datadog にメトリクスを送信します。

: コンテナ Agent をお使いの場合は、代わりに環境変数: DD_DD_URL="https://pvtlink.agent.datadoghq.com" を設定してください。Cluster Agent で Kubernetes 環境の監視を行っている場合は、この環境変数を Cluster Agent と Node Agent の_両方_で構成します。

Agent 6.14 以上で使用可能

この新しい VPC エンドポイントを使ってログを Datadog に転送するには、pvtlink.logs.datadoghq.com を新しいログの宛先として構成を行います。

Datadog Agent を使用する場合:

  1. Agent の datadog.yaml コンフィギュレーションファイルに以下を追加します。

    logs_config:
        use_http: true
        logs_dd_url: pvtlink.logs.datadoghq.com:443
    • use_http 変数を使用すると、Datadog Agent で HTTPS を介してログを送信することができます。このコンフィギュレーションは AWS PrivateLink 経由で Datadog にログを送信する場合に必要です。 詳細は Agent のログ収集ドキュメントを参照してください。
    • logs_dd_url 変数は VPC エンドポイントにログを送るために使用されます。
  2. Agent を再起動し、AWS PrivateLink 経由で Datadog にログを送信します。

: コンテナ Agent をお使いの場合は、代わりに環境変数を設定してください。

  • DD_LOGS_CONFIG_USE_HTTP=true
  • DD_LOGS_CONFIG_LOGS_DD_URL="pvtlink.logs.datadoghq.com:443"

Lambda またはカスタムフォワーダーの使用:

Datadog Lambda 関数 の環境変数に DD_URL: api-pvtlink.logs.datadoghq.com を追加し、AWS のサービスログを Datadog に転送する際にプライベートリンクが使えるようにします。

デフォルトで、Forwarder の API キーは Secrets Manager に保存されます。Secrets Manager のエンドポイントを VPC に追加する必要があります。手順に従い、AWS サービスを VPC に追加してください。

CloudFormation テンプレートで Forwarder をインストールする際は、’DdUsePrivateLink’ を有効にして 1 つ以上のサブネット ID とセキュリティグループを設定してください。

Datadog API にデータを送信する、またはこの新しいエンドポイントを経由してデータを使用する場合は、API コールのホスト署名を api.datadoghq.com/api/ から pvtlink.api.datadoghq.com/api/ に置き換えます。

この新しい VPC エンドポイントを使ってプロセスメトリクスを Datadog に転送するには、pvtlink.process.datadoghq.com を新しいプロセスデータの宛先として構成を行います。

  1. Agent の datadog.yaml コンフィギュレーションファイルprocess_config: セクションで process_dd_url を更新します。

    process_dd_url: https://pvtlink.process.datadoghq.com
  2. Agent を再起動し、AWS PrivateLink 経由で Datadog にプロセスメトリクスを送信します。

: コンテナ Agent をお使いの場合は、代わりに環境変数: DD_PROCESS_AGENT_URL="https://pvtlink.process.datadoghq.com" を設定してください。Cluster Agent で Kubernetes 環境の監視を行っている場合は、この環境変数を Cluster Agent と Node Agent の_両方_で構成します。

この新しい VPC エンドポイントを使ってメトリクスを Datadog に転送するには、trace-pvtlink.agent.datadoghq.com を新しいメトリクスの宛先として構成を行います。

  1. Agent の datadog.yaml コンフィギュレーションファイルapm_config セクションで apm_dd_url を更新します。

    apm_dd_url: https://trace-pvtlink.agent.datadoghq.com
  2. Agent を再起動し、AWS PrivateLink 経由で Datadog にトレースを送信します。

: コンテナ Agent をお使いの場合は、代わりに環境変数: DD_APM_DD_URL="https://trace-pvtlink.agent.datadoghq.com" を設定してください。Cluster Agent で Kubernetes 環境の監視を行っている場合は、この環境変数を Cluster Agent と Node Agent の_両方_で構成します。

高度な使用方法

リージョン間ピアリング

他のリージョンから us-east-1 にある Datadog の PrivateLink オファリングにトラフィックをルーティングするには、リージョン間 Amazon VPC ピアリングを使用します。

リージョン間 VPC ピアリングを使用すると、異なる AWS リージョン間で VPC 間の接続を確立できます。これにより、異なるリージョンの VPC リソースがプライベート IP アドレスを使用して互いに通信できるようになります。

詳細については、Amazon VPC ピアリングのドキュメントを参照してください。

その他の参考資料