1. AWS コンソールを ap-northeast-1 に接続し、VPC エンドポイントを作成します。

2. Find service by name を選択します。
3. 接続したいサービスに応じて、Service Name テキストボックスに次の値を入力します:

4. Verify をクリックします。Service name found が表示されない場合は、Datadog サポートにお問い合わせください。

5. 次に、Datadog VPC サービスエンドポイントとピアリングする VPC とサブネットを選択します。VPC Peering では DNS を手動で設定する必要があるため、Enable DNS name は選択しないでください。

6. 任意のセキュリティグループを選択して、どのトラフィックがこの VPC エンドポイントに送信されるかを制御します。

   注: セキュリティグループでは TCP の 443 番ポートへのインバウンドトラフィックを許可する必要があります。

7. 画面下部の Create endpoint をクリックします。成功すると次のように表示されます:

8. VPC エンドポイント ID をクリックし、そのステータスを確認します。
9. ステータスが Pending から Available に変わるまで待ちます。最大 10 分ほどかかる場合があります。
10. エンドポイントを作成した後は、VPC Peering を使用して別のリージョンでもこの PrivateLink エンドポイントを利用できるようにし、PrivateLink 経由で Datadog にテレメトリを送信します。詳細は AWS ドキュメントの Work With VPC Peering connections を参照してください。

Amazon Route53

1. 使用するサービスごとにRoute53 プライベートホストゾーンを作成し、プライベートホストゾーンを ap-northeast-1 内の VPC にアタッチします。

以下の一覧を参考に、サービスと DNS 名をマッピングします:

この情報は AWS API の DescribeVpcEndpointServices を呼び出すか、下記のようにコマンドを実行することでも確認可能です:

aws ec2 describe-vpc-endpoint-services --service-names <service-name>`

例として、ap-northeast-1 用の Datadog メトリクスエンドポイントを取得する場合:

aws ec2 describe-vpc-endpoint-services --service-names com.amazonaws.vpce.ap-northeast-1.vpce-svc-002d904d5e69340ad | jq '.ServiceDetails[0].PrivateDnsName'

これは、Agent トラフィックの発信元となる VPC と関連付けるために必要な、プライベートホストゾーン名である metrics.agent.ap1.datadoghq.com を返します。このレコードを上書きすると、メトリクスに関連するインテークホスト名がすべて取得されます。

2. それぞれの新しい Route53 プライベートホストゾーン内に、同じ名前で A レコードを作成します。Alias オプションをトグルし、Route traffic to で、Alias to VPC endpoint、ap-northeast-1 を選び、DNS 名と関連付けられた VPC エンドポイントの DNS 名を入力します。

   注:

   • DNS 名を取得するには、エンドポイントサービスのプライベート DNS 名構成ドキュメントを表示するを参照してください。
   • Agent は、バージョン管理されたエンドポイントにテレメトリーを送信します。例えば、[version]-app.agent.ap1.datadoghq.com は、CNAME エイリアスを介して metrics.agent.ap1.datadoghq.com に解決されます。したがって、必要なのは metrics.agent.ap1.datadoghq.com 用のプライベートホストゾーンを設定することだけです。

3. Datadog PrivateLink のエンドポイントを含む ap-northeast-1 の VPC と、Datadog Agent を実行するリージョンの VPC の間で、VPC ピアリングとルーティングを構成します。

4. VPC が異なる AWS アカウントにある場合、続行する前に Datadog Agent を含む VPC が Route53 プライベートホストゾーンとの関連付けを許可されている必要があります。Datadog Agent が実行する VPC のリージョンと VPC ID を使用して、各 Route53 プライベートホストゾーンに対して VPC 関連付け承認を作成します。このオプションは、AWS Console では利用できません。AWS CLI、SDK、または API を使用して構成する必要があります。

5. Route53 ホストゾーンを編集して、他のリージョンの VPC を追加します。

6. プライベートホストゾーン (PHZ) が接続されている VPC では、特定の設定、特に enableDnsHostnames と enableDnsSupport をオンにする必要があります。プライベートホストゾーンを使用する際の注意点を参照してください。

7. Agent を再起動し、AWS PrivateLink 経由で Datadog にデータを送信します。

DNS の解決と接続のトラブルシューティング

DNS 名は、ap-northeast-1 の VPC の CIDR ブロックに含まれる IP アドレスに解決され、port 443 への接続に成功するはずです。

DNS がパブリック IP アドレスに解決している場合、Route53 ゾーンが代替地域の VPC に関連付けされていないか、A レコードが存在しないことが原因です。

DNS は正しく解決しているのに、port 443 への接続に失敗する場合、VPC のピアリングまたはルーティングが誤って構成されているか、ポート 443 が ap-northeast-1 の VPC の CIDR ブロックへのアウトバウンドを許可されていない可能性があります。

プライベートホストゾーン (PHZ) が接続されている VPC は、いくつかの設定をオンにする必要があります。具体的には、PHZ が関連付けられている VPC で、enableDnsHostnames と enableDnsSupport がオンになっている必要があります。Amazon VPC 設定を参照してください。

Datadog Agent

1. ログデータを収集する場合は、Agent が HTTPS 経由でログを送信するように構成されていることを確認してください。データがまだない場合は、Agent datadog.yaml コンフィギュレーションファイルに以下を追加します。

   logs_config:
       force_use_http: true
   

   Copy

   コンテナ Agent をお使いの場合は、代わりに環境変数を設定してください。

   DD_LOGS_CONFIG_FORCE_USE_HTTP=true
   

   この構成は、AWS PrivateLink と Datadog Agent で Datadog にログを送信する際に必要で、Lambda Extension では必要ありません。詳しくは、Agent のログ収集をご参照ください。

2. Lambda 拡張機能で、環境変数 DD_API_KEY_SECRET_ARN で指定した ARN を使って AWS Secrets Manager から Datadog API キーを読み込む場合、Secrets Manager 用の VPC エンドポイントを作成する必要があります。

3. Agent を再起動します。