Amazon VPC ピアリング

1. AWS コンソールをリージョン us-east-1 に接続し、VPC エンドポイントを作成します。

2. Find service by name を選択します。
3. AWS PrivateLink を確立したいサービスに応じて、Service Name テキストボックスに入力します。

| Datadog | PrivateLink サービス名

4. Verify をクリックします。これで Service name found が表示されない場合は、Datadog サポートに連絡してください。

5. 次に、Datadog VPC サービスエンドポイントとピアリングする VPC とサブネットを選択します。Enable DNS name は選択しないでください。VPC ピアリングでは DNS を手動で構成する必要があります。

6. お好みのセキュリティグループを選択して、この VPC エンドポイントにトラフィックを送信できるものを制御します。

注: セキュリティグループは TCP ポート 443 のインバウンドトラフィックを許可する必要があります。

7. 画面の下部にある Create endpoint をクリックします。成功すると、以下が表示されます。

8. VPC エンドポイント ID をクリックして、そのステータスを確認します。
9. ステータスが Pending から Available に変わるのを待ちます。これには最大 10 分かかることがあります。
10. エンドポイントを作成した後、VPC ピアリングを使用して、PrivateLink エンドポイントを別のリージョンで利用できるようにし、PrivateLink 経由で Datadog にテレメトリーを送信します。詳細は、AWS の VPC ピアリング接続の操作ページを参照してください。

Amazon Route53

1. AWS PrivateLink エンドポイントを作成した各サービスに対して、Route53 プライベートホストゾーンを作成します。プライベートホストゾーンを us-east-1 の VPC に適用します。

以下のリストを使用して、Datadog の異なる部分にサービスと DNS 名をマッピングします。

また、AWS API の DescribeVpcEndpointServices を照会するか、以下のコマンドを使用して、この情報を見つけることができます。

aws ec2 describe-vpc-endpoint-services --service-names <service-name>`

例えば、us-east-1 の Datadog メトリクスエンドポイントの場合:

aws ec2 describe-vpc-endpoint-services --service-names com.amazonaws.vpce.us-east-1.vpce-svc-09a8006e245d1e7b8 | jq '.ServiceDetails[0].PrivateDnsName'

これは、Agent トラフィックの発信元となる VPC と関連付けるために必要な、プライベートホストゾーン名である metrics.agent.datadoghq.com を返します。このレコードを上書きすると、メトリクスに関連するインテークホスト名がすべて取得されます。

2. それぞれの新しい Route53 プライベートホストゾーン内に、同じ名前で A レコードを作成します。Alias オプションをトグルし、Route traffic to で、Alias to VPC endpoint、us-east-1 を選び、DNS 名と関連付けられた VPC エンドポイントの DNS 名を入力します。

   注:

   • DNS 名を取得するには、エンドポイントサービスのプライベート DNS 名構成ドキュメントを表示するを参照してください。
   • Agent は、バージョン管理されたエンドポイントにテレメトリーを送信します。例えば、[version]-app.agent.datadoghq.com は、CNAME エイリアスを介して metrics.agent.datadoghq.com に解決されます。したがって、必要なのは metrics.agent.datadoghq.com 用のプライベートホストゾーンを設定することだけです。

3. Datadog PrivateLink のエンドポイントを含む us-east-1 の VPC と、Datadog Agent を実行するリージョンの VPC の間で、VPC ピアリングとルーティングを構成します。

4. VPC が異なる AWS アカウントにある場合、続行する前に Datadog Agent を含む VPC が Route53 プライベートホストゾーンとの関連付けを許可されている必要があります。Datadog Agent が実行する VPC のリージョンと VPC ID を使用して、各 Route53 プライベートホストゾーンに対して VPC 関連付け承認を作成します。このオプションは、AWS Console では利用できません。AWS CLI、SDK、または API を使用して構成する必要があります。

5. Route53 ホストゾーンを編集して、他のリージョンの VPC を追加します。

6. プライベートホストゾーン (PHZ) が接続されている VPC では、特定の設定、特に enableDnsHostnames と enableDnsSupport をオンにする必要があります。プライベートホストゾーンを使用する際の注意点を参照してください。

7. Agent を再起動し、AWS PrivateLink 経由で Datadog にデータを送信します。

DNS の解決と接続のトラブルシューティング

DNS 名は、us-east-1 の VPC の CIDR ブロックに含まれる IP アドレスに解決され、port 443 への接続に成功するはずです。

DNS がパブリック IP アドレスに解決している場合、Route53 ゾーンが代替地域の VPC に関連付けされていないか、A レコードが存在しないことが原因です。

DNS は正しく解決しているのに、port 443 への接続に失敗する場合、VPC のピアリングまたはルーティングが誤って構成されているか、ポート 443 が us-east-1 の VPC の CIDR ブロックへのアウトバウンドを許可されていない可能性があります。

プライベートホストゾーン (PHZ) が接続されている VPC は、いくつかの設定をオンにする必要があります。具体的には、PHZ が関連付けられている VPC で、enableDnsHostnames と enableDnsSupport がオンになっている必要があります。Amazon VPC 設定を参照してください。

Datadog Agent

1. ログデータを収集する場合は、Agent が HTTPS 経由でログを送信するように構成されていることを確認してください。データがまだない場合は、Agent datadog.yaml コンフィギュレーションファイルに以下を追加します。

   logs_config:
       force_use_http: true
   

   Copy

   コンテナ Agent をお使いの場合は、代わりに環境変数を設定してください。

   DD_LOGS_CONFIG_FORCE_USE_HTTP=true
   

   この構成は、AWS PrivateLink と Datadog Agent で Datadog にログを送信する際に必要で、Lambda Extension では必要ありません。詳しくは、Agent のログ収集をご参照ください。

2. Lambda 拡張機能で、環境変数 DD_API_KEY_SECRET_ARN で指定した ARN を使って AWS Secrets Manager から Datadog API キーを読み込む場合、Secrets Manager 用の VPC エンドポイントを作成する必要があります。

3. Agent を再起動します。