Posts

En environnement professionnel, les bases de données Azure (PostgreSQL, MySQL, SQL Server…) sont souvent exposées uniquement via un Private Endpoint : elles ne sont accessibles qu’au sein du réseau privé Azure, sans aucune IP publique. Résultat : depuis son poste de développement, il est impossible de s’y connecter directement avec un client comme DBeaver ou psql. Pourtant, le cluster AKS (Azure Kubernetes Service) qui tourne dans le même VNet, lui, y a accès. Ce guide explique comment exploiter ce fait pour créer un tunnel sécurisé jusqu’à la base, sans modifier les règles réseau ni ouvrir le moindre port public. ...

Ce blog a démarré sous Jekyll, le générateur de sites statiques historique de GitHub Pages. Après quelques mois d’utilisation, j’ai décidé de migrer vers Hugo. Voici pourquoi, et comment ça fonctionne. Jekyll vs Hugo : pourquoi changer ? Jekyll est un outil solide, mais il traîne quelques contraintes qui deviennent pénibles avec le temps. Jekyll Hugo Langage Ruby Go (binaire unique) Installation Ruby + Bundler + gems Un seul binaire Vitesse de build Lente (secondes à minutes) Très rapide (millisecondes) Dépendances Nombreuses (gems) Aucune Themes Via gems ou fork Répertoire local ou module Drafts natifs Partiel Natif (draft: true) Dates futures Non géré nativement Natif (buildFuture) Le point qui m’a le plus motivé : Hugo est un binaire unique compilé en Go. Pas de Ruby à installer, pas de conflits de versions de gems, pas de bundle install qui échoue selon l’environnement. On télécharge, on lance, c’est fini. ...

Qu’est-ce qu’une Azure Policy ? Une Azure Policy est une règle de gouvernance appliquée sur des ressources Azure. Elle permet de s’assurer qu’un environnement reste conforme à des standards définis : sécurité, nommage, régions autorisées… Il y a trois notions clés à distinguer. La Policy Definition est la règle elle-même. Elle définit ce qui est évalué et l’effet déclenché en cas de non-conformité. Les effets principaux sont : Effet Comportement Audit Log la non-conformité, ne bloque pas Deny Bloque la création ou modification de la ressource DeployIfNotExists Déploie automatiquement une ressource associée si absente Modify Modifie une propriété lors de la création/mise à jour Append Ajoute des champs à la ressource L’Initiative (ou PolicySetDefinition) est un regroupement de plusieurs definitions. Plutôt que d’assigner chaque policy une par une, on les regroupe dans une initiative cohérente, par exemple une baseline sécurité ou conformité CIS. ...

Les Private Endpoints Azure attachent un service managé (PostgreSQL, Key Vault, Storage…) au réseau privé via une IP interne. Le problème : pour que les pods AKS puissent résoudre le FQDN de cette ressource vers son IP privée plutôt que vers son IP publique, il faut configurer correctement les zones DNS privées et les Virtual Network Links. Architecture du problème Quand Azure crée un Private Endpoint pour, par exemple, un PostgreSQL Flexible Server, il crée automatiquement une zone DNS privée du type privatelink.postgres.database.azure.com. Cette zone contient un enregistrement A qui mappe le FQDN du serveur vers l’IP privée du Private Endpoint. ...

Quand une Azure Policy bloque un déploiement, le message d’erreur dans Terraform ou dans le portail indique souvent l’assignment responsable, mais pas toujours le détail complet de la règle violée. Les Activity Logs Azure gardent la trace complète de chaque refus. Où chercher dans le portail Les Activity Logs sont accessibles depuis plusieurs endroits : au niveau subscription, resource group, ou directement depuis une ressource. Pour diagnostiquer un Deny policy, allez dans Activity Log. ...

Le portail Azure propose des vues de conformité pour les Azure Policies, mais elles sont limitées : pas de filtrage cross-subscription avancé, pas d’export facile, pas de combinaisons complexes de critères. Azure Resource Graph résout ça via KQL qui est le même langage que Log Analytics, appliqué aux métadonnées de vos ressources Azure. Qu’est-ce qu’Azure Resource Graph ? Azure Resource Graph est un service qui indexe toutes vos ressources Azure et leur état. Il permet d’interroger en quelques secondes l’ensemble de votre tenant, toutes subscriptions confondues et avec KQL (Kusto Query Language). ...