Atlas des pannes

Partir du symptôme, pas de la catégorie.

Une carte de diagnostic pour les situations d’exploitation : erreurs 502, dérive DNS privée, blocages WAF, locks Terraform, garde-fous d’automatisation et contrôles d’agents IA privés.

Cloud 2 notes

Application Gateway retourne un 502

Séparer health probe, résolution DNS, paramètres TLS et joignabilité réseau privée avant de modifier l’application.

Premiers contrôles
  • Vérifier l’état de santé backend
  • Résoudre le nom backend depuis le chemin gateway
  • Valider TLS/SNI et la configuration de probe
  1. 01 Azure Application Gateway : diagnostiquer les erreurs 502 sans mélanger DNS, TLS et backend health
  2. 02 Azure Private Endpoint : construire une matrice de validation avant la mise en production
Cloud 3 notes

APIM interne retourne une erreur sur une API privée

Corréler les logs Application Gateway/WAF et APIM, puis séparer DNS, TLS, policy, identité et joignabilité backend privée avant de modifier les policies ou rouvrir les accès.

Premiers contrôles
  • Vérifier si le WAF a bloqué la requête
  • Confirmer qu’APIM reçoit le même chemin
  • Valider DNS et TLS backend depuis le chemin APIM
  • Rejouer avec un identifiant de corrélation
  1. 01 APIM interne Azure : diagnostiquer une API privée avant de modifier les policies
  2. 02 Snippet KQL : corréler WAF et APIM sur une API privée Azure
  3. 03 Azure Application Gateway : diagnostiquer les erreurs 502 sans mélanger DNS, TLS et backend health
Networking 4 notes

Un nom Private Endpoint résout encore en public

Confirmer la chaîne CNAME, l’association Private DNS Zone et le forwarding hybride depuis le réseau consommateur.

Premiers contrôles
  • Lancer nslookup depuis le réseau workload
  • Vérifier le CNAME privatelink
  • Contrôler les liens Private DNS Zone et forwarders
  1. 01 Snippet Azure : vérifier la résolution DNS d’un Private Endpoint
  2. 02 Snippet Azure : repérer un drift DNS Private Endpoint
  3. 03 DNS hybride Azure : quand utiliser Private Resolver, forwarders on-premises et zones privées
  4. 04 Azure Private Endpoint : détecter le drift Terraform, DNS et réseau avant incident
Cloud 3 notes

Un endpoint privé Azure Storage retourne 403, timeout ou aucun log de requête

Séparer DNS du sous-service Storage, approbation Private Endpoint, règles firewall, identité runtime et logs Storage avant d’ouvrir l’accès public ou d’élargir RBAC.

Premiers contrôles
  • Résoudre le sous-service Storage exact depuis le réseau workload
  • Vérifier statut Private Endpoint et private DNS zone group
  • Rejouer avec un client request ID
  • Corréler les logs Storage pour 403, IP appelante et identité requérante
  1. 01 Azure Storage : diagnostiquer un endpoint privé sans ouvrir le compte
  2. 02 Snippet KQL : isoler les 403 Azure Storage sur endpoint privé
  3. 03 Azure Private Endpoint : détecter le drift Terraform, DNS et réseau avant incident
Cloud 4 notes

Une probe synthétique échoue sur un chemin privé Azure

Séparer DNS, TLS, health Application Gateway, blocages WAF et réseau du runner avant de modifier le routage ou le code applicatif.

Premiers contrôles
  • Résoudre le hostname depuis le réseau de probe
  • Contrôler TLS/SNI avec le vrai hostname
  • Corréler le run de probe avec les logs WAF et gateway
  1. 01 Azure : rendre les chemins privés vérifiables avec des probes synthétiques
  2. 02 Snippet KQL : suivre les probes synthétiques d’un chemin privé Azure
  3. 03 Azure Application Gateway : diagnostiquer les erreurs 502 sans mélanger DNS, TLS et backend health
  4. 04 Azure Private Endpoint : détecter le drift Terraform, DNS et réseau avant incident
Cloud 3 notes

L’ingress privé Azure Container Apps échoue ou atteint la mauvaise révision

Séparer DNS privé, passage Application Gateway, mode d’ingress Container Apps, trafic des révisions et logs console avant rollback ou changement de poids.

Premiers contrôles
  • Résoudre le hostname depuis le réseau appelant
  • Vérifier target port ingress et révisions actives
  • Corréler logs system et console
  1. 01 Azure Container Apps : diagnostiquer un ingress privé avant de changer les révisions
  2. 02 Snippet KQL : diagnostiquer ingress privé et révisions Container Apps
  3. 03 Azure : rendre les chemins privés vérifiables avec des probes synthétiques
Cloud 3 notes

L’ingress privé AKS retourne 502 ou ne trouve aucun endpoint de service

Séparer DNS privé, health Application Gateway, routage ingress controller, selectors de service Kubernetes, endpoint slices et readiness des pods avant de rollback un déploiement.

Premiers contrôles
  • Résoudre le hostname depuis le réseau appelant
  • Vérifier backend health Application Gateway et host header
  • Contrôler ingress, service et endpoint slices
  • Corréler logs controller et applicatifs
  1. 01 Azure AKS : diagnostiquer un ingress privé avant de changer les déploiements
  2. 02 Snippet KQL : corréler ingress privé AKS et logs applicatifs
  3. 03 Azure Application Gateway : diagnostiquer les erreurs 502 sans mélanger DNS, TLS et backend health
Cloud 3 notes

Un endpoint HTTP privé Azure Functions retourne 403, 503 ou aucun log de requête

Séparer DNS privé, joignabilité Private Endpoint, restrictions d’accès, état runtime Functions, storage privé et preuves Application Insights avant de redéployer le code ou rouvrir l’accès public.

Premiers contrôles
  • Résoudre le hostname depuis le réseau appelant
  • Rejouer avec un identifiant de corrélation
  • Vérifier access restrictions et statut Private Endpoint
  • Corréler requests, traces et exceptions
  1. 01 Azure Functions : diagnostiquer un endpoint HTTP privé avant de changer le code
  2. 02 Snippet KQL : corréler endpoint HTTP privé Azure Functions
  3. 03 Azure : rendre les chemins privés vérifiables avec des probes synthétiques
Cloud 5 notes

Azure WAF bloque une requête légitime

Partir des requêtes bloquées, du ruleId et de l’URI avant de choisir exclusion, custom rule ou correction applicative.

Premiers contrôles
  • Lister les URI bloquées en KQL
  • Identifier ruleId et champ matché
  • Valider le périmètre du faux positif
  1. 01 Snippet KQL : lister rapidement les URI bloquées par Azure WAF
  2. 02 WAF et KQL : identifier un faux positif avant de créer une exclusion
  3. 03 Azure WAF : ajouter une exclusion OWASP/CRS sans affaiblir toute la protection
  4. 04 Azure WAF : encadrer une règle custom d’urgence sans perdre la preuve
  5. 05 Snippet Azure : auditer les priorités des custom rules WAF
Infrastructure 4 notes

Une rotation de secret ou un changement d’identité managée casse un consommateur applicatif ou CI

Séparer préparation, bascule, révocation et diagnostic d’identité managée ; valider l’identité réelle d’exécution, le chemin privé et les erreurs d’authentification avant de supprimer l’ancienne valeur ou d’élargir l’accès.

Premiers contrôles
  • Lister les consommateurs réels
  • Vérifier l’identité runtime et la lecture du coffre
  • Contrôler DNS privé et réseau source
  • Surveiller les 401/403/500 ou refus Key Vault
  1. 01 Rotation des secrets et identités de service : un runbook de production, pas une tâche isolée
  2. 02 Snippet KQL : repérer les erreurs d’authentification après rotation d’un secret
  3. 03 Identité managée Azure : diagnostiquer l’accès privé avant de changer les droits
  4. 04 Snippet KQL : diagnostiquer un refus Key Vault avec identité managée