AWS Console をリージョン に接続し、VPC エンドポイントを作成します。
Find service by name を選択します。
AWS PrivateLink を構築したいサービスに応じて、Service Name テキストボックスに入力します。
| Datadog | PrivateLink サービス名 | プライベート DNS 名 |
|---|
| ログ (Agent HTTP インテーク) | | |
| ログ (ユーザー HTTP インテーク) | | |
| API | | api. |
| メトリクス | | metrics.agent. |
| コンテナ | | orchestrator. |
| プロセス | | process. |
| プロファイリング | | intake.profile. |
| トレース | | trace.agent. |
| データベースモニタリング | | dbm-metrics-intake. |
| リモート構成 | | config. |
Verify をクリックします。Service name found と表示されない場合は、Datadog サポートまでお問い合わせください。
Datadog VPC サービスエンドポイントとピアリングされるべき VPC とサブネットを選択します。
Enable DNS name* の Enable for this endpoint がチェックされていることを確認します。
この VPC エンドポイントへのトラフィックを送信できるものを制御するために、自由にセキュリティグループを選択します。
注: セキュリティグループは TCP ポート 443 上のインバウンドトラフィックを受け入れなければなりません。
画面下部の Create endpoint をクリックします。成功すると以下のように表示されます。
ステータスを確認するには、VPC エンドポイント ID をクリックします。
ステータスが Pending から Available に変わるのを待ちます。これには最大 10 分かかります。Available が表示されたら、AWS PrivateLink を利用できます。
ログデータを収集している場合、Agent が HTTPS 経由でログを送信するように構成されていることを確認してください。データがまだ存在しない場合は、Agent datadog.yaml コンフィギュレーションファイルに以下を追加します。
logs_config:
use_http: true
Container Agent を使用している場合は、代わりに以下の環境変数を設定します。
DD_LOGS_CONFIG_USE_HTTP=true
この構成は、AWS PrivateLink と Datadog Agent でログを Datadog に送信する場合に必要で、Lambda 拡張機能では不要です。詳細は Agent ログ収集を参照してください。
環境変数 DD_API_KEY_SECRET_ARN で指定した ARN を使用して AWS Secrets Manager から Datadog API Key をロードする Lambda 拡張機能の場合、Secrets Manager 用の VPC エンドポイントを作成する必要があります。
Agent を再起動し、AWS PrivateLink 経由で Datadog にデータを送信します。
Amazon VPC ピアリング
- AWS Console をリージョン に接続し、VPC エンドポイントを作成します。
- Find service by name を選択します。
- AWS PrivateLink を構築したいサービスに応じて Service Name テキストボックスに入力します。
| Datadog | PrivateLink サービス名 |
|---|
| ログ (Agent HTTP インテーク) | |
| ログ (ユーザー HTTP インテーク) | |
| API | |
| メトリクス | |
| コンテナ | |
| プロセス | |
| プロファイリング | |
| トレース | |
| データベースモニタリング | |
| リモート構成 | |
Verify をクリックします。Service name found と表示されない場合は、Datadog サポートまでお問い合わせください。
次に、Datadog VPC サービスエンドポイントでピアリングされるべき VPC とサブネットを選択します。VPC ピアリングでは DNS を手動で構成する必要があるため、Enable DNS name は選択しないでください。
この VPC エンドポイントへトラフィックを送信できるものを制御するために、自由にセキュリティグループを選択します。
注: セキュリティグループは TCP ポート 443 上のインバウンドトラフィックを受け入れなければなりません。
画面下部の Create endpoint をクリックします。成功すると以下のように表示されます。
- ステータスを確認するには、VPC エンドポイント ID をクリックします。
- ステータスが Pending から Available に変わるのを待ちます。最大 10 分かかります。
- エンドポイントの作成後、VPC ピアリングを使用して PrivateLink エンドポイントを別のリージョンで利用できるようにし、PrivateLink 経由で Datadog にテレメトリーを送信します。詳細については、AWS の VPC ピアリング接続の使用ページをお読みください。
Amazon Route53
- AWS PrivateLink エンドポイントを作成したサービスごとに、Route53 プライベートホストゾーンを作成します。プライベートホストゾーンを
以下のリストを使用して、サービス名と DNS 名を Datadog のさまざまな部分にマッピングします。
| Datadog | PrivateLink サービス名 | プライベート DNS 名 |
|---|
| ログ (Agent HTTP インテーク) | | agent-http-intake.logs. |
| ログ (ユーザー HTTP インテーク) | | http-intake.logs. |
| API | | api. |
| メトリクス | | metrics.agent. |
| コンテナ | | orchestrator. |
| プロセス | | process. |
| プロファイリング | | intake.profile. |
| トレース | | trace.agent. |
| データベースモニタリング | | dbm-metrics-intake. |
| リモート構成 | | config. |
この情報は、AWS API の DescribeVpcEndpointServices に問い合わせるか、以下のコマンドを使用しても見つけることができます。
aws ec2 describe-vpc-endpoint-services --service-names <service-name>`
例えば、
aws ec2 describe-vpc-endpoint-services --service-names | jq '.ServiceDetails[0].PrivateDnsName'
これは、Agent トラフィックの発信元となる VPC と関連付けるために必要な、プライベートホストゾーン名である metrics.agent. を返します。このレコードを上書きすると、メトリクスに関連するインテークホスト名がすべて取得されます。
それぞれの新しい Route53 プライベートホストゾーン内に、同じ名前で A レコードを作成します。Alias オプションをトグルし、Route traffic to で、Alias to VPC endpoint、 を選び、DNS 名と関連付けられた VPC エンドポイントの DNS 名を入力します。
注:
- DNS 名を取得するには、エンドポイントサービスのプライベート DNS 名構成ドキュメントを表示するを参照してください。
- Agent は、バージョン管理されたエンドポイントにテレメトリーを送信します。例えば、
[version]-app.agent. は、CNAME エイリアスを介して metrics.agent. に解決されます。したがって、必要なのは metrics.agent. 用のプライベートホストゾーンを設定することだけです。
Datadog PrivateLink のエンドポイントを含む
VPC が異なる AWS アカウントにある場合、続行する前に Datadog Agent を含む VPC が Route53 プライベートホストゾーンとの関連付けを許可されている必要があります。Datadog Agent が実行する VPC のリージョンと VPC ID を使用して、各 Route53 プライベートホストゾーンに対して VPC 関連付け承認を作成します。このオプションは、AWS Console では利用できません。AWS CLI、SDK、または API を使用して構成する必要があります。
Route53 ホストゾーンを編集して、他のリージョンの VPC を追加します。
プライベートホストゾーン (PHZ) が接続されている VPC では、特定の設定、特に enableDnsHostnames と enableDnsSupport をオンにする必要があります。プライベートホストゾーンを使用する際の注意点を参照してください。
Agent を再起動し、AWS PrivateLink 経由で Datadog にデータを送信します。
DNS の解決と接続のトラブルシューティング
DNS 名は、port 443 への接続に成功するはずです。
DNS がパブリック IP アドレスに解決している場合、Route53 ゾーンが代替地域の VPC に関連付けされていないか、A レコードが存在しないことが原因です。
DNS は正しく解決しているのに、port 443 への接続に失敗する場合、VPC のピアリングまたはルーティングが誤って構成されているか、ポート 443 が
プライベートホストゾーン (PHZ) が接続されている VPC は、いくつかの設定をオンにする必要があります。具体的には、PHZ が関連付けられている VPC で、enableDnsHostnames と enableDnsSupport がオンになっている必要があります。Amazon VPC 設定を参照してください。
Datadog Agent
ログデータを収集する場合は、Agent が HTTPS 経由でログを送信するように構成されていることを確認してください。データがまだない場合は、Agent datadog.yaml コンフィギュレーションファイルに以下を追加します。
logs_config:
force_use_http: true
コンテナ Agent をお使いの場合は、代わりに環境変数を設定してください。
DD_LOGS_CONFIG_FORCE_USE_HTTP=true
この構成は、AWS PrivateLink と Datadog Agent で Datadog にログを送信する際に必要で、Lambda Extension では必要ありません。詳しくは、Agent のログ収集をご参照ください。
Lambda 拡張機能で、環境変数 DD_API_KEY_SECRET_ARN で指定した ARN を使って AWS Secrets Manager から Datadog API キーを読み込む場合、Secrets Manager 用の VPC エンドポイントを作成する必要があります。
Agent を再起動します。
