Si votre configuration réseau restreint le trafic sortant, vous pouvez utiliser un proxy pour transférer la totalité du trafic de l’Agent vers un ou plusieurs hosts dotés de stratégies de connexion sortante plus souples.
Il existe plusieurs façons d’envoyer du trafic vers Datadog via SSL/TLS pour les hosts qui ne sont pas directement connectés à Internet.
Utilisation d’un proxy Web (tel que Squid ou Microsoft Web Proxy) déjà déployé sur votre réseau
Utilisation de HAProxy (si vous souhaitez utiliser le même proxy pour plus de 16 à 20 Agents)
Utilisation de l’Agent en tant que proxy (jusqu’à 16 Agents par proxy, seulement sur la version 5 de l’Agent)
Pour en savoir plus sur la configuration du proxy FIPS de l’Agent Datadog avec l’Agent Datadog, consultez la section Conformité de Datadog à la norme FIPS. Le proxy FIPS est uniquement disponible pour la région US1-FED. Il ne peut pas être utilisé en même temps qu’un proxy standard.
Pour consulter les informations relatives à Squid, accédez à la section Squid de cette page.
Les proxies Web traditionnels sont pris en charge de manière native par l’Agent. Si vous devez vous connecter à Internet via un proxy, modifiez le fichier de configuration de l’Agent.
Agents v6 et v7
Définissez différents serveurs de proxy pour les requêtes https et http dans le fichier de configuration datadog.yaml de votre Agent. L’Agent utilise https pour envoyer des données à Datadog, mais les intégrations peuvent utiliser le protocole http pour recueillir des métriques. Quelles que soient les requêtes à faire passer par un proxy, vous pouvez activer le SSL sur votre serveur proxy. Vous trouverez ci-dessous des exemples de configuration pour votre fichier datadog.yaml.
Si la collecte de logs est activée, assurez-vous qu'un transport spécifique est appliqué.
Il est conseillé d'utiliser le transport HTTPS. Dans ce cas, le <HOST>:<PORT> utilisé pour transmettre les métriques via proxy est également utilisé pour transmettre les logs via proxy.
Si vous utilisez le transport TCP, consultez la page Proxy TCP pour les logs.
Définir un proxy HTTP pour toutes les requêtes https :
Remarque : lorsque vous configurez un proxy HTTP pour les requêtes https, la communication entre l’Agent et Datadog est chiffrée de bout en bout avec TLS et ne peut pas être déchiffrée par le proxy. La seule communication non chiffrée est la requête HTTP CONNECT qui se fait entre l’Agent et le proxy pour établir la connexion TCP initiale entre l’Agent et Datadog. Ainsi, lorsque vous utilisez un proxy pour les requêtes https, il n’est pas nécessaire d’utiliser un proxy HTTPS pour chiffrer les communications entre l’Agent et Datadog.
Définir un proxy HTTPS pour les requêtes https et http :
Remarque : toutes les intégrations qui envoient des requêtes HTTP(S) utilisent les paramètres de proxy définis dans le fichier de configuration datadog.yaml si aucun paramètre n’est spécifié au niveau de l’intégration. Pour modifier ce comportement, définissez skip_proxy sur true ou use_agent_proxy sur false dans la configuration de chaque instance ou dans la configuration de secours init_config de votre intégration.
Par défaut, no_proxy/NO_PROXY doit correspondre exactement aux endpoints des requêtes HTTP(S) de l’Agent (à l’exception des requêtes effectuées par les intégrations de l’Agent). Nous vous conseillons d’activer no_proxy_nonexact_match pour autoriser l’Agent à appliquer aux valeurs NO_PROXY les mêmes règles que celles utilisées pour les intégrations (voir ci-dessous).
no_proxy_nonexact_match:true
Les règles suivantes s’appliquent aux intégrations de l’Agent (et à l’ensemble de l’Agent lorsque le paramètre no_proxy_nonexact_match est activé) :
Un nom de domaine englobe le nom et tous les sous-domaines. Par exemple :
datadoghq.com englobe app.agent.datadoghq.com, www.datadoghq.com, datadoghq.com, mais paswww.notdatadoghq.com
datadoghq englobe frontend.datadoghq, backend.datadoghq, mais paswww.datadoghq.com ou www.datadoghq.eu
Un nom de domaine qui commence par un « . » englobe uniquement les sous-domaines. Par exemple :
.datadoghq.com englobe app.agent.datadoghq.com, www.datadoghq.com, mais pasdatadoghq.com
Une plage CIDR englobe les adresses IP au sein du sous-réseau. Par exemple :
192.168.1.0/24 englobe la plage d’IP comprise entre 192.168.1.1 et 192.168.1.254
À partir de l’Agent v6.4, vous pouvez définir vos paramètres de proxy via des variables d’environnement :
DD_PROXY_HTTPS : définit un serveur proxy pour les requêtes https.
DD_PROXY_HTTP : définit un serveur proxy pour les requêtes http.
DD_PROXY_NO_PROXY : définit une liste de hosts qui doivent ignorer le proxy. La liste est séparée par des espaces.
Les variables d’environnement sont prioritaires sur les valeurs dans le fichier datadog.yaml. Si les variables d’environnement sont présentes avec une valeur vide (par exemple, DD_PROXY_HTTP=""), l’Agent utilise ces valeurs vides à la place des options dont la priorité est plus faible.
Sur les hosts Unix, un proxy peut être appliqué à l’ensemble du système via les variables d’environnement standard, comme HTTPS_PROXY, HTTP_PROXY et NO_PROXY. L’Agent les utilise si elles sont présentes. Attention : ces variables ont également un impact sur l’ensemble des requêtes provenant des intégrations, y compris les services d’orchestration comme Docker, ECS et Kubernetes.
L’Agent utilise les valeurs suivantes par ordre de priorité :
Les variables d’environnement DD_PROXY_HTTPS, DD_PROXY_HTTP et DD_PROXY_NO_PROXY
Les variables d’environnement HTTPS_PROXY, HTTP_PROXY et NO_PROXY
Les valeurs spécifiées dans datadog.yaml
Agent v5
Le <HOST>:<PORT> utilisé pour le proxy des métriques ne doit PAS être utilisé pour le proxy des logs. Consultez la section Utilisation d'un proxy pour les logs.
Modifiez le fichier datadog.conf en ajoutant les informations de votre proxy :
# Si vous avez besoin d'un proxy pour vous connecter à Internet, indiquez les paramètres ci-dessous
proxy_host: mon-proxy.exemple.com
proxy_port: 3128
proxy_user: mon_utilisateur
proxy_password: mon_mdp
N’oubliez pas de redémarrer l’Agent pour que les nouveaux paramètres soient appliqués.
Squid est un forward proxy pour le Web qui prend en charge les protocoles HTTP, HTTPS, FTP, et plus encore. Il est compatible avec la plupart des systèmes d’exploitation sur le marché, y compris Windows, et est distribué sous la licence publique générale GNU. Squid est une solution pratique si vous n’utilisez pas déjà un proxy Web au sein de votre réseau.
Installez Squid sur un host capable de communiquer avec vos Agents internes et Datadog. Vous pouvez utiliser le gestionnaire de packages de votre système d’exploitation ou installer le logiciel directement depuis la page du projet Squid.
Pour configurer Squid, modifiez le fichier de configuration. Ce fichier est généralement situé à l’emplacement /etc/squid/squid.conf sous Linux ou C:\squid\etc\squid.conf sous Windows.
Modifiez votre fichier de configuration squid.conf afin que Squid puisse accepter le trafic local et le transférer vers les entrées Datadog adéquates :
http_port 0.0.0.0:3128
acl local src 127.0.0.1/32
acl Datadog dstdomain .datadoghq.comhttp_access allow Datadog
http_access allow local manager
Si Squid est déjà en cours d’exécution, redémarrez-le à l’aide de la commande suivante :
sudo systemctl restart squid
Si vous configurez Squid sous Windows, vous devez d’abord configurer Squid en tant que service système. Vous pourrez ensuite exécuter la commande suivante dans une invite de commandes en tant qu’administrateur :
net start squid
Si Squid est déjà en cours d’exécution, redémarrez-le à l’aide des commandes suivantes :
HAProxy est une solution gratuite, rapide et fiable qui peut être utilisée comme proxy TCP ou HTTP. Même si HAProxy est généralement utilisé en tant que répartiteur de charge pour distribuer les requêtes entrantes vers un pool de serveurs, vous pouvez également l’utiliser pour faire transiter par un proxy le trafic de l’Agent vers Datadog à partir des hosts qui ne présentent aucune connectivité externe :
agent ---> haproxy ---> Datadog
Il s’agit d’une excellente solution si vous ne disposez pas d’un proxy Web facilement accessible sur votre réseau et que vous souhaitez appliquer un proxy à un grand nombre d’Agents. Dans certains cas, une seule instance HAProxy suffit pour gérer le trafic local de l’Agent sur votre réseau. Chaque proxy peut prendre en charge jusqu’à 1 000 Agents.
Remarque : il s’agit d’une estimation modeste basée sur les performances d’instances m3.xl. Plusieurs variables liées au réseau et au host peuvent influencer la charge sur HAProxy. Gardez toujours un œil sur le déploiement de votre proxy avant et après sa mise en place. Consultez la documentation dédiée à HAProxy pour en savoir plus.
Les communications entre HAProxy et Datadog sont toujours chiffrées via TLS. Les communications entre le host de l’Agent et le host HAProxy ne sont pas chiffrées par défaut, car le proxy et l’Agent sont censés être sur le même host. Toutefois, nous vous conseillons de sécuriser ces communications via un chiffrement TLS si le host HAProxy et le host de l’Agent ne sont pas situés sur le même réseau local isolé.
Pour chiffrer les données entre l’Agent et HAProxy, vous devez créer un certificat x509 avec l’extension Subject Alternative Name (SAN) pour le host HAProxy. Ce paquet de certificats (*.pem) doit contenir le certificat public et la clé privée. Consultez cet article de blog sur HAProxy pour en savoir plus.
Remarque : téléchargez le certificat Datadog avec l’une des commandes suivantes :
HAProxy doit être installé sur un host capable de communiquer avec Datadog. Vous pouvez utiliser l’un des fichiers de configuration suivants si vous ne l’avez pas déjà configuré. La configuration dépend du service et du site Datadog. Pour consulter les configurations propres à votre site Datadog, utilisez le menu DATADOG SITE sur la droite.
Remarque : nous vous conseillons d’utiliser le fichier de configuration HTTPS si l’Agent et HAProxy ne font pas partie du même réseau local isolé.
# Configuration de basegloballog127.0.0.1local0maxconn4096statssocket/tmp/haproxy# Quelques valeurs par défaut raisonnablesdefaultslogglobaloptiondontlognullretries3optionredispatchtimeoutclient5stimeoutserver5stimeoutconnect5s# Déclarer un accès aux statistiques HAProxy sur le port 3833.# Vous n'avez pas besoin d'identifiants pour afficher cette page.# Vous pouvez désactiver l'accès une fois la configuration terminée.listenstatsbind*:3833modehttpstatsenablestatsuri/# Cette section permet de remplacer les entrées DNS# Remplacez <IP_SERVEUR_DNS> et <IP_SECONDAIRE_SERVEUR_DNS> par les adresses IP du serveur DNS.# Pour HAProxy 1.8 et versions ultérieuresresolversmy-dnsnameserverdns1<IP_SERVEUR_DNS>:53nameserverdns2<IP_SECONDAIRE_SERVEUR_DNS>:53resolve_retries3timeoutresolve2stimeoutretry1saccepted_payload_size8192holdvalid10sholdobsolete60s# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des métriques (par exemple, la valeur de "dd_url").frontendmetrics-forwarderbind*:3834modehttpoptiontcplogdefault_backenddatadog-metricsuse_backenddatadog-apiif{path_beg-i/api/v1/validate}use_backenddatadog-flareif{path_beg-i/support/flare/}# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des traces (par exemple, la valeur de "endpoint" dans la section# de configuration d'APM).frontendtraces-forwarderbind*:3835modetcpoptiontcplogdefault_backenddatadog-traces# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des profils (par exemple, la valeur de "apm_config.profiling_dd_url").frontendprofiles-forwarderbind*:3836modetcpoptiontcplogdefault_backenddatadog-profiles# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des processus (par exemple, la valeur de "url" dans la section# de configuration des processus).frontendprocesses-forwarderbind*:3837modetcpoptiontcplogdefault_backenddatadog-processes# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des logs (par exemple, la valeur de "logs.config.logs_dd_url")# Si les logs sont envoyés avec use_http: truefrontendlogs_http_frontendbind*:3838modehttpoptiontcplogdefault_backenddatadog-logs-http# Si les logs sont envoyés avec force_use_tcp: true# frontend logs_frontend# bind *:10514# mode tcp# option tcplog# default_backend datadog-logs# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des métriques et de l'activité Database Monitoring (par exemple, la valeur de "database_monitoring.metrics.dd_url" et de "database_monitoring.activity.dd_url")frontenddatabase_monitoring_metrics_frontendbind*:3839modehttpoptiontcplogdefault_backenddatadog-database-monitoring-metrics# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des échantillons Database Monitoring (par exemple, la valeur de "database_monitoring.samples.dd_url")frontenddatabase_monitoring_samples_frontendbind*:3840modehttpoptiontcplogdefault_backenddatadog-database-monitoring-samples# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des métadonnées Network Devices Monitoring (par exemple, la valeur de "network_devices.metadata.dd_url")frontendnetwork_devices_metadata_frontendbind*:3841modehttpoptiontcplogdefault_backenddatadog-network-devices-metadata# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des données Traps SNMP pour Network Devices (par exemple, la valeur de "network_devices.snmp_traps.forwarder.dd_url")frontendnetwork_devices_snmp_traps_frontendbind*:3842modehttpoptiontcplogdefault_backenddatadog-network-devices-snmp-traps# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des données de télémétrie pour l'instrumentation (par exemple, la valeur de "apm_config.telemetry.dd_url")frontendinstrumentation_telemetry_data_frontendbind*:3843modetcpoptiontcplogdefault_backenddatadog-instrumentations-telemetry# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des flux NetFlow pour Network Devices (par exemple, la valeur de "network_devices.netflow.dd_url")frontendnetwork_devices_netflow_frontendbind*:3845modehttpoptiontcplogdefault_backenddatadog-network-devices-netflow# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# la réception des configurations à distance (par exemple, la valeur de "remote_configuration.rc_dd_url")frontendremote_configuration_frontendbind*:3846modehttpoptiontcplogdefault_backenddatadog-remote-configuration# Le serveur Datadog. En pratique, toutes les requêtes TCP# reçues par les frontends de transmission définis ci-dessus passent par les# endpoints publics de Datadog.backenddatadog-metricsbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5metrics.agent.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership metrics.agent.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-apimodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5api.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership api.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-flaremodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5flare.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership flare.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-tracesbalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5trace.agent.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership trace.agent.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-profilesbalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5intake.profile.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership profile.agent.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-processesbalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5process.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership process.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-logs-httpbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5agent-http-intake.logs.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server datadog agent-http-intake.logs.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-database-monitoring-metricsbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5dbm-metrics-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server datadog agent-http-intake.logs.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-database-monitoring-samplesbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5dbquery-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server datadog agent-http-intake.logs.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-network-devices-metadatabalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5ndm-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership ndm-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-network-devices-snmp-trapsbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5snmp-traps-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership snmp-traps-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-instrumentations-telemetrybalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5instrumentation-telemetry-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership instrumentation-telemetry-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-network-devices-netflowbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5ndmflow-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership ndmflow-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>backenddatadog-remote-configurationbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5config.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CERTIFICATS>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership config.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CERTIFICATS>
Cette configuration applique un chiffrement SSL/TLS aux communications entre l’Agent et HAProxy. Remplacez la variable <CHEMIN_VERS_PEM_CERTIFICATS> par le chemin vers le paquet de certificats du proxy (*.pem).
# Configuration de basegloballog127.0.0.1local0maxconn4096statssocket/tmp/haproxy# Quelques valeurs par défautdefaultslogglobaloptiondontlognullretries3optionredispatchtimeoutclient5stimeoutserver5stimeoutconnect5s# Déclarer un accès aux statistiques HAProxy sur le port 3833.# Vous n'avez pas besoin d'identifiants pour afficher cette page.# Vous pouvez désactiver l'accès une fois la configuration terminée.listenstatsbind*:3833modehttpstatsenablestatsuri/# Cette section permet de remplacer les entrées DNS.# Remplacez <IP_SERVEUR_DNS> et <IP_SECONDAIRE_SERVEUR_DNS> par les adresses IP du serveur DNS.# Pour HAProxy 1.8 et versions ultérieuresresolversmy-dnsnameserverdns1<IP_SERVEUR_DNS>:53nameserverdns2<IP_SECONDAIRE_SERVEUR_DNS>:53resolve_retries3timeoutresolve2stimeoutretry1saccepted_payload_size8192holdvalid10sholdobsolete60s# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des métriques (par exemple, la valeur de "dd_url").frontendmetrics-forwarderbind*:3834sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-metricsuse_backenddatadog-apiif{path_beg-i/api/v1/validate}use_backenddatadog-flareif{path_beg-i/support/flare/}# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des traces (par exemple, la valeur de "endpoint" dans la section# de configuration d'APM).frontendtraces-forwarderbind*:3835sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modetcpoptiontcplogdefault_backenddatadog-traces# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des profils (par exemple, la valeur de "apm_config.profiling_dd_url").frontendprofiles-forwarderbind*:3836sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modetcpoptiontcplogdefault_backenddatadog-profiles# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des processus (par exemple, la valeur de "url" dans la section# de configuration des processus).frontendprocesses-forwarderbind*:3837sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modetcpoptiontcplogdefault_backenddatadog-processes# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des logs (par exemple, la valeur de "logs.config.logs_dd_url")# Si les logs sont envoyés avec use_http: truefrontendlogs_http_frontendbind*:3838sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-logs-http# Si les logs sont envoyés avec force_use_tcp: true# frontend logs_frontend# bind *:10514 ssl crt <CHEMIN_VERS_PEM_CERTIFICATS_PROXY># mode tcp# option tcplog# default_backend datadog-logs# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des métriques et de l'activité Database Monitoring (par exemple, la valeur de "database_monitoring.metrics.dd_url" et de "database_monitoring.activity.dd_url")frontenddatabase_monitoring_metrics_frontendbind*:3839sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-database-monitoring-metrics# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des échantillons Database Monitoring (par exemple, la valeur de "database_monitoring.samples.dd_url")frontenddatabase_monitoring_samples_frontendbind*:3840sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-database-monitoring-samples# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des métadonnées Network Devices Monitoring (par exemple, la valeur de "network_devices.metadata.dd_url")frontendnetwork_devices_metadata_frontendbind*:3841sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-network-devices-metadata# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des données Traps SNMP pour Network Devices (par exemple, la valeur de "network_devices.snmp_traps.forwarder.dd_url")frontendnetwork_devices_snmp_traps_frontendbind*:3842sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-network-devices-snmp-traps# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des données de télémétrie pour l'instrumentation (par exemple, la valeur de "apm_config.telemetry.dd_url")frontendinstrumentation_telemetry_data_frontendbind*:3843sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modetcpoptiontcplogdefault_backenddatadog-instrumentations-telemetry# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# l'envoi des flux NetFlow pour Network Devices (par exemple, la valeur de "network_devices.netflow.dd_url")frontendnetwork_devices_netflow_frontendbind*:3845sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-network-devices-netflow# Déclarer l'endpoint auquel vos Agents doivent se connecter pour# la réception des configurations à distance (par exemple, la valeur de "remote_configuration.rc_dd_url")frontendremote_configuration_frontendbind*:3846sslcrt<CHEMIN_VERS_PEM_CERTIFICATS_PROXY>modehttpoptiontcplogdefault_backenddatadog-remote-configuration# Le serveur Datadog. En pratique, toutes les requêtes TCP# reçues par les frontends de transmission définis ci-dessus passent par les# endpoints publics de Datadog.backenddatadog-metricsbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5metrics.agent.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership metrics.agent.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-apimodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5api.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership api.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-flaremodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5flare.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership flare.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-tracesbalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5trace.agent.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership trace.agent.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-profilesbalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5intake.profile.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership profile.agent.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-processesbalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5process.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership process.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-logs-httpbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5agent-http-intake.logs.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server datadog agent-http-intake.logs.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-database-monitoring-metricsbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5dbm-metrics-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server datadog agent-http-intake.logs.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-database-monitoring-samplesbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5dbquery-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server datadog agent-http-intake.logs.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-network-devices-metadatabalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5ndm-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership ndm-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-network-devices-snmp-trapsbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5snmp-traps-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership snmp-traps-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-instrumentations-telemetrybalanceroundrobinmodetcp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5instrumentation-telemetry-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership instrumentation-telemetry-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-network-devices-netflowbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5ndmflow-intake.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership ndmflow-intake.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>backenddatadog-remote-configurationbalanceroundrobinmodehttp# La configuration suivante est valable pour HAProxy 1.8 et versions ultérieuresserver-templatemothership5config.datadoghq.com:443checkport443sslverifyrequiredca-file<CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>checkresolversmy-dnsinit-addrnoneresolve-preferipv4# Décommenter la configuration suivante pour les anciennes versions de HAProxy# server mothership config.datadoghq.com:443 check port 443 ssl verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG>
Remarque : vous pouvez utiliser verify none au lieu de verify required ca-file <CHEMIN_VERS_CRT_CERTIFICATS_DATADOG> si vous ne pouvez pas récupérer les certificats sur le host proxy, mais sachez que HAProxy ne sera alors pas en mesure de vérifier le certificat d’admission de Datadog.
À partir de la version 1.8, HAProxy permet au système de découverte des services DNS de détecter les modifications de serveur et de les appliquer automatiquement à votre configuration.
Si vous utilisez une version antérieure de HAProxy, vous devrez recharger ou redémarrer HAProxy. Nous vous conseillons de configurer une tâche cron qui recharge HAProxy toutes les 10 minutes (par exemple, service haproxy reload) pour forcer l’actualisation du cache DNS de HAProxy si app.datadoghq.com bascule vers une autre IP.
Pointez chaque Agent vers HAProxy en définissant son dd_url sur l’adresse de HAProxy (par exemple, haproxy.exemple.com).
Le paramètre dd_url se trouve dans le fichier datadog.yaml.
dd_url: <SCHÉMA>://haproxy.example.com:3834
Remplacez <SCHÉMA> par https si vous avez choisi la configuration HTTPS pour HAProxy, ou par http si vous n’avez pas choisi HTTPS.
Pour envoyer des traces, des profils, des processus et des logs en passant par le proxy, définissez les paramètres suivants dans le fichier datadog.yaml :
apm_config:apm_dd_url:<SCHÉMA>://haproxy.example.com:3835profiling_dd_url:<SCHÉMA>://haproxy.example.com:3836/api/v2/profiletelemetry:dd_url:<SCHÉMA>://haproxy.example.com:3843process_config:process_dd_url:<SCHÉMA>://haproxy.example.com:3837logs_config:use_http:truelogs_dd_url:haproxy.example.com:3838# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:truedatabase_monitoring:metrics:logs_dd_url:haproxy.example.com:3839# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:trueactivity:logs_dd_url:haproxy.example.com:3839# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:truesamples:logs_dd_url:haproxy.example.com:3840# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:truenetwork_devices:metadata:logs_dd_url:haproxy.example.com:3841# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:truesnmp_traps:forwarder:logs_dd_url:haproxy.example.com:3842# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:truenetflow:forwarder:logs_dd_url:haproxy.example.com:3845# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxylogs_no_ssl:trueremote_configuration:rc_dd_url:haproxy.example.com:3846# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et HAProxyno_tls:true
Lorsque vous utilisez le chiffrement entre l’Agent et HAProxy, si l’Agent n’a pas accès au certificat du proxy, s’il n’est pas en mesure de le valider ou si la validation n’est pas nécessaire, vous pouvez modifier le fichier de configuration de l’Agent datadog.yaml et définir skip_ssl_validation sur true.
Lorsque cette option est définie sur true, l’Agent ignore l’étape de validation du certificat et ne vérifie pas l’identité du proxy, mais la communication reste chiffrée via SSL/TLS.
Pour vérifier que tout fonctionne correctement, consultez les statistiques HAProxy sur http://haproxy.example.com:3833 ainsi que l’aperçu de l’infrastructure.
Agent v5
Pointez chaque Agent vers HAProxy en définissant son dd_url sur l’adresse de HAProxy (par exemple, haproxy.exemple.com).
Le paramètre dd_url se trouve dans le fichier datadog.conf.
dd_url: http://haproxy.example.com:3834
Pour envoyer des traces ou des processus en passant par le proxy, définissez les paramètres suivants dans le fichier datadog.conf :
Modifiez la configuration de votre superviseur pour désactiver la vérification du certificat SSL. Ceci est nécessaire pour forcer Python à ignorer la différence entre le hostname du certificat SSL (app.datadoghq.com) et le hostname de votre HAProxy. Le fichier de configuration du superviseur se trouve à l’emplacement suivant :
/etc/dd-agent/supervisor_ddagent.conf sur les systèmes basés sur Debian
/etc/dd-agent/supervisor.conf sur les systèmes basés sur Red Hat
/opt/local/datadog/supervisord/supervisord.conf sur SmartOS
/usr/local/etc/datadog/supervisord/supervisord.conf sur FreeBSD
~/.datadog-agent/supervisord/supervisord.conf sur macOS
Si on part du principe que le fichier de supervision se nomme <FICHIER_SUP> :
sed -i 's/ddagent.py/ddagent.py --sslcheck=0/' <FICHIER_SUP>
Si vous utilisez l’Agent Windows, modifiez votre fichier de configuration datadog.conf et ajoutez cette option :
Pour vérifier que tout fonctionne correctement, consultez les statistiques HAProxy sur http://haproxy.example.com:3833 ainsi que l’aperçu de l’infrastructure.
NGINX est un serveur Web qui peut être utilisé comme reverse proxy, répartiteur de charge, proxy de messagerie ou cache HTTP. Vous pouvez également utiliser NGINX comme proxy pour vos Agents Datadog :
agent ---> nginx ---> Datadog
Les communications entre NGINX et Datadog sont toujours chiffrées via TLS. Les communications entre le host de l’Agent et le host NGINX ne sont pas chiffrées par défaut, car le proxy et l’Agent sont censés être sur le même host. Toutefois, nous vous conseillons de sécuriser ces communications via un chiffrement TLS si le host NGINX et le host de l’Agent ne sont pas situés sur le même réseau local isolé.
Pour chiffrer les données entre l’Agent et NGINX, vous devez créer un certificat x509 avec l’extension Subject Alternative Name (SAN) pour le host NGINX.
Remarque : téléchargez le certificat Datadog avec l’une des commandes suivantes :
NGINX doit être installé sur un host capable de communiquer avec Datadog. Vous pouvez utiliser l’un des fichiers de configuration suivants si vous ne l’avez pas déjà configuré. La configuration dépend du service et du site Datadog. Pour consulter les configurations propres à votre site Datadog, utilisez le menu DATADOG SITE sur la droite.
Remarque : nous vous conseillons d’utiliser le fichier de configuration HTTPS si l’Agent et NGINX ne font pas partie du même réseau local isolé.
usernginx;worker_processesauto;error_log/var/log/nginx/error.log;pid/run/nginx.pid;events{worker_connections1024;}# Proxy HTTP pour l'Agent Datadoghttp{proxy_ssl_trusted_certificate<CHEMIN_VERS_CERTIFICATS>;server{listen3834;# écoute des métriquesaccess_logoff;location/api/v1/validate{proxy_ssl_verifyon;proxy_passhttps://api.datadoghq.com:443/api/v1/validate;}location/support/flare/{proxy_ssl_verifyon;proxy_passhttps://flare.datadoghq.com:443/support/flare/;}location/{proxy_ssl_verifyon;proxy_passhttps://metrics.agent.datadoghq.com:443/;}}}# Proxy TCP pour l'Agent Datadogstream{proxy_ssl_trusted_certificate<CHEMIN_VERS_CERTIFICATS>;server{listen3835;# écoute des tracesproxy_ssl_verifyon;proxy_sslon;proxy_passtrace.agent.datadoghq.com:443;}server{listen3836;# écoute des profilsproxy_ssl_verifyon;proxy_sslon;proxy_passintake.profile.datadoghq.com:443;}server{listen3837;# écoute des processusproxy_ssl_verifyon;proxy_sslon;proxy_passprocess.datadoghq.com:443;}server{listen3838;# écoute des logs avec use_http: trueproxy_ssl_verifyon;proxy_sslon;proxy_passagent-http-intake.logs.datadoghq.com:443;}server{listen3839;# écoute des métriques Database Monitoringproxy_ssl_verifyon;proxy_sslon;proxy_passdbm-metrics-intake.datadoghq.com:443;}server{listen3840;# écoute des échantillons Database Monitoringproxy_ssl_verifyon;proxy_sslon;proxy_passdbquery-intake.datadoghq.com:443;}server{listen3841;# écoute des métadonnées Network Devicesproxy_ssl_verifyon;proxy_sslon;proxy_passndm-intake.datadoghq.com:443;}server{listen3842;# écoute des traps Network Devicesproxy_ssl_verifyon;proxy_sslon;proxy_passsnmp-traps-intake.datadoghq.com:443;}server{listen3843;# écoute des données de télémétrie des instrumentationsproxy_ssl_verifyon;proxy_sslon;proxy_passinstrumentation-telemetry-intake.datadoghq.com:443;}server{listen3845;# écoute des netflows Network Devicesproxy_ssl_verifyon;proxy_sslon;proxy_passndmflow-intake.datadoghq.com:443;}server{listen3846;# écoute des demandes de configuration à distanceproxy_ssl_verifyon;proxy_sslon;proxy_passconfig.datadoghq.com:443;}}
Cette configuration applique un chiffrement SSL/TLS aux communications entre l’Agent et NGINX. Remplacez <CHEMIN_VERS_CERTIFICAT_PROXY> par le chemin vers le certificat public du proxy et <CHEMIN_VERS_CLÉ_CERTIFICAT_PROXY> par le chemin vers la clé privée.
usernginx;worker_processesauto;error_log/var/log/nginx/error.log;pid/run/nginx.pid;events{worker_connections1024;}# HTTP Proxy for Datadog Agenthttp{proxy_ssl_trusted_certificate<CHEMIN_VERS_CERTIFICATS>;ssl_certificate<CHEMIN_VERS_CERTIFICAT_PROXY>;ssl_certificate_key<CHEMIN_VERS_CLÉ_CERTIFICAT_PROXY>;server{listen3834ssl;# écoute des métriquesaccess_logoff;location/api/v1/validate{proxy_ssl_verifyon;proxy_passhttps://api.datadoghq.com:443/api/v1/validate;}location/support/flare/{proxy_ssl_verifyon;proxy_passhttps://flare.datadoghq.com:443/support/flare/;}location/{proxy_ssl_verifyon;proxy_passhttps://metrics.agent.datadoghq.com:443/;}}}# Proxy TCP pour l'Agent Datadogstream{proxy_ssl_trusted_certificate<CHEMIN_VERS_CERTIFICATS>;ssl_certificate<CHEMIN_VERS_CERTIFICAT_PROXY>;ssl_certificate_key<CHEMIN_VERS_CLÉ_CERTIFICAT_PROXY>;server{listen3835ssl;# écoute des tracesproxy_ssl_verifyon;proxy_sslon;proxy_passtrace.agent.datadoghq.com:443;}server{listen3836ssl;# écoute des profilsproxy_ssl_verifyon;proxy_sslon;proxy_passintake.profile.datadoghq.com:443;}server{listen3837ssl;# écoute des processusproxy_ssl_verifyon;proxy_sslon;proxy_passprocess.datadoghq.com:443;}server{listen3838ssl;# écoute des logs avec use_http: trueproxy_ssl_verifyon;proxy_sslon;proxy_passagent-http-intake.logs.datadoghq.com:443;}server{listen3839ssl;# écoute des métriques Database Monitoringproxy_ssl_verifyon;proxy_sslon;proxy_passdbm-metrics-intake.datadoghq.com:443;}server{listen3840ssl;# écoute des échantillons Database Monitoringproxy_ssl_verifyon;proxy_sslon;proxy_passdbquery-intake.datadoghq.com:443;}server{listen3841ssl;# écoute des métadonnées Network Devicesproxy_ssl_verifyon;proxy_sslon;proxy_passndm-intake.datadoghq.com:443;}server{listen3842ssl;# écoute des traps Network Devicesproxy_ssl_verifyon;proxy_sslon;proxy_passsnmp-traps-intake.datadoghq.com:443;}server{listen3843ssl;# écoute des données de télémétrie des instrumentationsproxy_ssl_verifyon;proxy_sslon;proxy_passinstrumentation-telemetry-intake.datadoghq.com:443;}server{listen3845ssl;# écoute des netflows Network Devicesproxy_ssl_verifyon;proxy_sslon;proxy_passndmflow-intake.datadoghq.com:443;}server{listen3846ssl;# écoute des demandes de configuration à distanceproxy_ssl_verifyon;proxy_sslon;proxy_passconfig.datadoghq.com:443;}}
Remarque : vous pouvez supprimer proxy_ssl_verify on si vous ne pouvez pas récupérer les certificats sur le host proxy, mais sachez que NGINX ne sera alors pas en mesure de vérifier le certificat d’admission de Datadog.
Pointez chaque Agent vers NGINX en définissant son dd_url sur l’adresse de NGINX (par exemple, nginx.example.com) dans son fichier de configuration.
Le paramètre dd_url se trouve dans le fichier datadog.yaml.
dd_url: "<SCHÉMA>://nginx.example.com:3834"
Remplacez <SCHÉMA> par https si vous avez choisi la configuration HTTPS pour HAProxy, ou par http si vous n’avez pas choisi HTTPS.
Pour envoyer des traces, des profils, des processus et des logs en passant par le proxy, définissez les paramètres suivants dans le fichier datadog.yaml :
apm_config:apm_dd_url:<SCHÉMA>://nginx.example.com:3835profiling_dd_url:<SCHÉMA>://nginx.example.com:3836/api/v2/profiletelemetry:dd_url:<SCHÉMA>://nginx.example.com:3843process_config:process_dd_url:<SCHÉMA>://nginx.example.com:3837logs_config:use_http:truelogs_dd_url:nginx.example.com:3838# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:truedatabase_monitoring:metrics:logs_dd_url:nginx.example.com:3839# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:trueactivity:logs_dd_url:nginx.example.com:3839# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:truesamples:logs_dd_url:nginx.example.com:3840# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:truenetwork_devices:metadata:logs_dd_url:nginx.example.com:3841# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:truesnmp_traps:forwarder:logs_dd_url:nginx.example.com:3842# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:truenetflow:forwarder:logs_dd_url:nginx.example.com:3845# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXlogs_no_ssl:trueremote_configuration:rc_dd_url:nginx.example.com:3846# Mettez en commentaire la ligne ci-dessous pour utiliser le chiffrement entre l'Agent et NGINXno_tls:true
Lorsque vous utilisez le chiffrement entre l’Agent et NGINX, si l’Agent n’a pas accès au certificat du proxy, s’il n’est pas en mesure de le valider ou si la validation n’est pas nécessaire, vous pouvez modifier le fichier de configuration de l’Agent datadog.yaml et définir skip_ssl_validation sur true.
Lorsque cette option est définie sur true, l’Agent ignore l’étape de validation du certificat et ne vérifie pas l’identité du proxy, mais la communication reste chiffrée via SSL/TLS.
Cette fonction est uniquement disponible avec l’Agent v5.
Nous vous conseillons d’utiliser un vrai proxy (un proxy Web ou HAProxy) pour transférer votre trafic vers Datadog. Toutefois, si ce n’est pas possible, vous pouvez configurer une instance de l’Agent v5 pour vous en servir en tant que proxy.
Désignez un nœud sur lequel est exécuté datadog-agent comme proxy.
Dans cet exemple, on part du principe que le nom du proxy est proxy-node. Ce nœud doit pouvoir atteindre https://app.datadoghq.com.
Autorisez le trafic non local sur proxy-node en modifiant la ligne suivante dans datadog.conf.
# non_local_traffic: no doit être remplacé par non_local_traffic: yes.
Assurez-vous que proxy-node peut être atteint à partir des autres nœuds sur le port 17123. Démarrez l’Agent sur le proxy-node et exécutez-le sur les autres nœuds :
