Snippets

Snippet Azure : repérer un drift DNS Private Endpoint

Une vérification courte pour comparer la chaîne DNS attendue, l’adresse privée retournée et le chemin de test depuis un workload ou un runner CI.

03 juin 2026 azureprivate-endpointdnsterraformdriftrunbook

Un drift Private Endpoint est souvent invisible tant qu’une exception publique laisse le service répondre. Le test utile consiste à vérifier la chaîne CNAME, l’adresse privée finale et le chemin exact depuis lequel le test est lancé.

bash check-private-endpoint-drift-dns.sh

SERVICE_FQDN="stordersprod.blob.core.windows.net"
EXPECTED_CNAME="privatelink.blob.core.windows.net"
EXPECTED_PRIVATE_PREFIX="10.50.20."

printf "Test path: %s
" "$(hostname)"
nslookup "$SERVICE_FQDN"
CNAME_RESULT=$(dig +short CNAME "$SERVICE_FQDN")
IP_RESULT=$(dig +short "$SERVICE_FQDN" | tail -n 1)

printf "CNAME: %s
" "$CNAME_RESULT"
printf "IP: %s
" "$IP_RESULT"

test "${CNAME_RESULT#*$EXPECTED_CNAME}" != "$CNAME_RESULT" || echo "WARN: CNAME does not use expected privatelink zone"
test "${IP_RESULT#$EXPECTED_PRIVATE_PREFIX}" != "$IP_RESULT" || echo "WARN: IP does not match expected private prefix"

Relance le même test depuis le workload et depuis le runner Terraform. Si l’un des deux chemins retourne encore une adresse publique, le changement réseau suivant peut transformer ce drift en incident.