Project Oxygen & Ideo-LabIDEO LAB Dashboard 2026

🔷 Storage Systems — Chapitre 20 : Microsoft Azure Storage

Très grosse page dédiée au stockage Azure : Managed Disks pour les VMs, Blob Storage pour l’objet et les archives, Azure Files pour SMB/NFS managé, Azure NetApp Files pour fichiers enterprise, Azure Backup pour la protection, Azure Site Recovery pour le disaster recovery, puis les cas d’usage Microsoft stack, SQL Server, AKS, data lake, hybrid enterprise, sécurité, FinOps, réseau privé, observabilité, runbooks et checklist production.

Azure Managed DisksAzure Blob StorageAzure FilesAzure NetApp FilesAzure BackupAzure Site RecoveryAKS / SQL / Hybrid
20.1

Azure Managed Disks

Premium SSD, Premium SSD v2, Ultra Disk, Standard SSD/HDD : VM disks, snapshots, ZRS, performance tiers et bursting.

Managed DisksUltraPremium SSD
20.2

Azure Blob Storage

Hot, Cool, Cold, Archive : containers, blobs, lifecycle, versioning, immutability, Data Lake Gen2 et events.

BlobHot/Cool/ColdArchive
20.3

Azure Files

SMB/NFS managé : shares, Azure File Sync, identity, private endpoints, premium shares et AKS RWX.

Azure FilesSMB/NFSRWX
20.4

Azure NetApp Files

Enterprise NFS/SMB : volumes, capacity pools, service levels, snapshots, replication, SAP/HPC/Oracle workloads.

NetApp FilesNFS/SMBEnterprise
20.5

Azure Backup

Protection workloads : Recovery Services vault, Backup vault, policies, immutable vault, soft delete et restore.

BackupVaultRestore
20.6

Azure Site Recovery

Disaster recovery : replication, failover, failback, VMware/Hyper-V/Azure VMs, RPO/RTO et drills.

ASRDRFailover
20.7

Cas d’usage

Microsoft stack, Windows Server, SQL Server, hybrid enterprise, AKS, data lake, backup, SAP, VDI et HPC.

Microsoft stackSQLHybrid
20.8

Design Managed Disks

Choix type disque, IOPS, throughput, caching, host caching, shared disks, snapshots, encryption et monitoring.

IOPSCachingSnapshots
20.9

Sécurité Blob

RBAC, SAS, shared key disable, private endpoints, firewall, CMK, immutability, Defender, soft delete et audit.

RBACSASCMK
20.10

FinOps Blob

Access tiers, transactions, retrieval, lifecycle, rehydration, versioning, change feed, logs, reservations et budgets.

FinOpsLifecycleTransactions
20.11

Azure Files design

Premium vs standard shares, SMB/NFS, identity AD/Entra/Kerberos, quotas, snapshots, sync et performance.

DesignIdentityPremium
20.12

Azure NetApp Files en profondeur

Service levels, capacity pools, volumes, snapshots, cross-region replication, protocoles et workloads enterprise.

ANFService levelsReplication
20.13

Archive Azure

Blob archive tier, rehydration, minimum duration, legal hold, immutable policies, cold tier et conformité.

ArchiveRehydrationCompliance
20.14

DR et réplication Azure

ZRS/GRS/GZRS, Blob object replication, ASR, Backup copy, ANF replication et architecture région paire.

DRGRSReplication
20.15

Azure Storage pour AKS

Azure Disk CSI, Azure Files CSI, Blob CSI/NFS patterns, topology, snapshots, RWX, workload identity et operators.

AKSCSIPVC
20.16

Bases de données sur Azure storage

SQL Server on VM, Azure SQL, Managed Instance, PostgreSQL/MySQL, Premium/Ultra disks, PITR et HA.

SQL ServerAzure SQLPITR
20.17

Analytics / IA / Data Lake

ADLS Gen2, Synapse, Databricks, Fabric, Event Hubs capture, parquet/delta, ML datasets et governance.

ADLSSynapseDatabricks
20.18

Hybrid enterprise

Azure File Sync, Arc, Data Box, ExpressRoute, StorSimple legacy, backup cloud, SMB enterprise et migration.

HybridFile SyncData Box
20.19

Accès privé & réseau

Private Endpoints, service endpoints, storage firewall, DNS privé, SMB/NFS, ExpressRoute, latency et throughput.

Private EndpointFirewallDNS
20.20

Observabilité Azure Storage

Azure Monitor, metrics, diagnostic settings, Storage Analytics, Defender, Activity Logs, Cost Management et alerts.

MonitorLogsAlerts
20.21

Modèle de coûts Azure Storage

Disks capacity/performance, Blob tier/transactions/retrieval, Files provisioned, ANF capacity pools, Backup/ASR costs.

CostBillingBudgets
20.22

Anti-patterns Azure Storage

Blob public, SAS longue durée, shared key activée, archive mal choisie, disk SKU sous-dimensionné, backup non testé.

Anti-patternsRiskGovernance
20.23

Runbooks incidents

Disk full/latency, Blob AccessDenied, SAS leaked, File share mount failed, Backup failed, ASR failover, rehydration urgente.

RunbookIncidentRestore
20.24

Checklist production Azure Storage

Préprod : RBAC, private endpoint, CMK, lifecycle, backup, ASR drill, monitoring, budget, tags et restore tests.

Prod-readyAuditChecklist
20.1 Azure Managed Disks : Premium SSD, Ultra Disk, Standard SSD/HDD
Définition

Azure Managed Disks fournit des disques bloc managés attachés aux machines virtuelles Azure. Ils servent aux disques OS, data disks, bases de données, logs, clusters Windows/Linux, workloads SAP, SQL Server et volumes persistants AKS via Azure Disk CSI.

Point clé : les types de disques Azure incluent Ultra Disks, Premium SSD v2, Premium SSD, Standard SSD et Standard HDD. Le choix détermine latence, IOPS, throughput, redondance, coût et fonctionnalités.
Flux logique
Azure VMOS / Data DiskManaged DiskSnapshot / BackupDR / Restore
TypePositionnementUsagesAttention
Ultra DiskTrès hautes performances configurables.SAP HANA, bases critiques, faible latence.Disponibilité région/zone, coût, limitations.
Premium SSD v2SSD moderne avec capacité/IOPS/throughput réglables.SQL Server, Oracle, NoSQL, analytics.Paramètres et régions à valider.
Premium SSDSSD production classique.VMs production, workloads IO.Perf liée aux tiers/capacité.
Standard SSDSSD économique.Web/app servers, dev/test, workloads modérés.Latence moins prévisible.
Standard HDDHDD économique.Dev/test, données froides.Pas pour I/O critique.

Les snapshots de managed disks servent aux sauvegardes, clones, migrations, restaurations et copies entre régions. Pour bases critiques, coordonner snapshot avec application ou utiliser Azure Backup/PITR natif.

  • Snapshots incrémentaux selon usage.
  • Shared Image Gallery / images pour standardisation.
  • Azure Backup pour politiques et rétention.
  • Azure Site Recovery pour DR, pas pour backup classique.
az disk list --resource-group rg-prod
az disk show --name vm01-data01 --resource-group rg-prod
az snapshot create --resource-group rg-prod --name snap-vm01-data01 --source vm01-data01
az disk update --resource-group rg-prod --name vm01-data01 --size-gb 2048
az vm disk attach --resource-group rg-prod --vm-name vm01 --name data02
Un disque Azure sous-dimensionné en IOPS/throughput peut ralentir toute une base. Un disque plein dans l’OS peut bloquer l’application. Un snapshot non testé ne garantit pas un restore utilisable.
20.2 Azure Blob Storage : Hot, Cool, Cold, Archive

Azure Blob Storage est le stockage objet Microsoft pour données non structurées : documents, images, vidéos, logs, backups, archives, data lakes et analytics. Les données sont stockées dans des containers sous forme de blobs accessibles via API HTTPS, SDKs, Azure CLI, AzCopy et services Azure.

App / SDKStorage AccountContainerBlob + metadataLifecycle / Tier
TierPositionnementMinimum recommandéAttention
HotAccès fréquent, modification fréquente.Aucun minimum fort.Stockage plus cher, accès moins cher.
CoolAccès peu fréquent.Environ 30 jours.Accès plus cher que Hot.
ColdAccès rare mais online.Environ 90 jours.Coûts d’accès plus élevés.
ArchiveArchive offline, latence de restauration en heures.Environ 180 jours.Rehydration nécessaire.
  • Blob versioning et soft delete.
  • Lifecycle management Hot/Cool/Cold/Archive/Delete.
  • Immutable storage : time-based retention, legal hold.
  • Change feed pour historique des changements.
  • Event Grid pour pipelines événementiels.
  • ADLS Gen2 pour namespace hiérarchique et analytics.
Pattern lifecycle:
- raw/logs: Hot 30d → Cool 90d → Cold 180d → Archive 365d
- tmp/: delete after 14d
- old versions: delete after 180d
- incomplete/unclassified: report monthly
Blob Storage n’est pas un disque POSIX. Pour SMB/NFS partagé, utiliser Azure Files ou Azure NetApp Files. Pour data lake analytique, utiliser ADLS Gen2 et formats Parquet/Delta.
20.3 Azure Files : SMB/NFS managé

Azure Files fournit des partages fichiers managés accessibles via SMB et, selon configuration, NFS. C’est une option naturelle pour remplacer ou étendre des file servers, partager des fichiers entre VMs, monter des volumes RWX dans AKS et synchroniser avec on-prem via Azure File Sync.

Windows/Linux/AKSSMB / NFSAzure File ShareSnapshots / Sync / Backup
UsagePourquoi Azure FilesAttention
Lift-and-shift WindowsSMB, intégration identité.ACL, Kerberos, latence.
AKS RWXAzure Files CSI.Performance et permissions.
Hybrid file serverAzure File Sync cache local.Design sync, cloud tiering.
Partage applicatifService managé.Pas pour DB transactionnelle sensible.
  • Standard file shares : économiques, workloads généraux.
  • Premium file shares : performances provisionnées, workloads exigeants.
  • Quotas et transactions à surveiller.
  • Private endpoint recommandé pour production interne.
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: azurefile-rwx
provisioner: file.csi.azure.com
parameters:
  skuName: Premium_LRS
allowVolumeExpansion: true
mountOptions:
  - dir_mode=0770
  - file_mode=0770
Un partage SMB/NFS exposé publiquement ou monté avec des clés partagées non gouvernées devient un risque majeur. Préférer Private Endpoint, RBAC/identity et rotation des secrets.
20.4 Azure NetApp Files : Enterprise NFS/SMB

Azure NetApp Files est un service de fichiers enterprise basé sur les technologies NetApp, exposant NFS et SMB avec des niveaux de service, snapshots rapides, volumes, capacity pools et options de réplication. Il vise les workloads exigeants : SAP, Oracle, HPC, VDI, enterprise file, migrations NetApp.

ConceptRôle
NetApp accountConteneur administratif.
Capacity poolCapacité réservée avec service level.
Service levelPerformance par TiB selon Standard/Premium/Ultra.
VolumeExport NFS/SMB/dual-protocol selon config.
SnapshotPoint-in-time rapide.
ReplicationProtection cross-region selon design.
  • SAP HANA et workloads enterprise validés.
  • Oracle sur NFS avec exigences latence.
  • VDI profile containers.
  • Large NFS/SMB shares.
  • Migrations depuis NetApp on-prem.
  • HPC/analytics avec filesystem performant.
VM / AKS / SAPNFS / SMBANF VolumeCapacity PoolSnapshots / Replication
ANF est puissant mais doit être dimensionné autour des capacity pools et service levels. Le coût/performance dépend directement de la capacité provisionnée et du niveau choisi.
20.5 Azure Backup : protection workloads

Azure Backup protège des VMs, fichiers, workloads applicatifs et autres ressources via des coffres, policies, snapshots, recovery points et mécanismes de restauration. C’est un service de backup, différent d’Azure Site Recovery qui vise le disaster recovery.

WorkloadsBackup PolicyVaultRecovery PointsRestore Test
ConceptRôle
Recovery Services vaultVault historique pour VMs/workloads.
Backup vaultVault plus récent pour certains workloads datasource.
PolicyFréquence et rétention.
Soft deleteProtection contre suppression accidentelle/malveillante.
Immutable vaultProtection de rétention contre modifications.
  • Policies gold/silver/bronze par criticité.
  • Rétention courte, mensuelle, annuelle selon conformité.
  • Backup application-aware pour SQL/Windows si nécessaire.
  • Restauration testée régulièrement.
  • Accès vault limité et MFA/Privileged Identity Management.
az backup vault list
az backup protection enable-for-vm --resource-group rg --vault-name vault-prod --vm vm01 --policy-name Gold
az backup recoverypoint list --vault-name vault-prod --container-name vm01 --item-name vm01 --resource-group rg
az backup restore restore-disks --vault-name vault-prod --resource-group rg --container-name vm01 --item-name vm01 --rp-name
Un backup jamais restauré est une hypothèse, pas une protection. La vraie validation est un restore complet dans un environnement isolé.
20.6 Azure Site Recovery : disaster recovery

Azure Site Recovery orchestre la réplication, le failover et le failback de workloads vers Azure ou entre environnements supportés. Il vise la continuité d’activité et le disaster recovery, pas la sauvegarde long terme.

Source VMsReplicationRecovery RegionTest FailoverPlanned/Unplanned Failover
SourceCibleUsage
Azure VMsAutre région AzureDR régional.
VMwareAzureMigration/DR datacenter.
Hyper-VAzureDR Microsoft stack.
Physical/otherAzure selon supportProtection legacy.
  • RPO dépend du rythme de réplication et de la connectivité.
  • RTO dépend de l’orchestration, réseau, DNS, runbooks et tests.
  • Test failover doit être réalisé sans impacter production.
  • Failback doit être prévu avant le premier incident réel.
ASR est un service de DR : réplication/failover/failback. Azure Backup est un service de sauvegarde/restauration. Les deux sont complémentaires, pas interchangeables.
  1. Définir groupes de réplication par application.
  2. Tester failover isolé.
  3. Valider IP/DNS/firewall.
  4. Valider ordre de démarrage.
  5. Documenter RTO/RPO mesuré.
  6. Planifier failback.
20.7 Cas d’usage : Microsoft stack, Windows Server, SQL Server, hybrid enterprise
UsageService AzurePattern
VM Windows/LinuxManaged DisksOS/data/log disks.
Objets, data lakeBlob / ADLS Gen2Parquet, Delta, Synapse, Databricks.
Partages SMB/NFSAzure FilesLift-and-shift, AKS RWX.
Enterprise fileAzure NetApp FilesSAP, Oracle, NFS/SMB performant.
BackupAzure BackupVault, policies, restore.
DRAzure Site RecoveryReplication/failover/failback.
  • SQL Server on Azure VMs avec Premium/Ultra disks.
  • Azure Files pour partages Windows SMB.
  • Azure Backup pour VMs et workloads.
  • ASR pour DR Hyper-V/VMware/Azure VMs.
  • AD/Entra ID, private endpoints, Defender, Monitor.
On-prem AD/File/VMwareExpressRoute / VPNAzure Files / ANF / Backup / ASRDR / Cloud apps
Azure Storage est particulièrement fort dans les environnements hybrides Microsoft : Windows Server, SQL Server, Active Directory, SMB, Backup, DR et gouvernance Azure Policy/Monitor.
20.8 Design Managed Disks : IOPS, throughput, caching, snapshots
WorkloadDisque typiquePoints clés
Web/app serverStandard SSD / Premium SSDCoût vs latence.
SQL Server critiquePremium SSD v2 / Ultra DiskIOPS/throughput/p99.
SAP HANAUltra / Premium selon certificationSupport matrix.
Dev/testStandard SSD/HDDCoût bas.
  • ReadOnly cache peut aider lectures disque OS/data read-heavy.
  • ReadWrite cache à manier prudemment selon workload.
  • Pour bases, suivre recommandations éditeur/Microsoft.
  • Mesurer latence dans OS et Azure Monitor.

Azure Shared Disks permet d’attacher un disque à plusieurs VMs pour certains scénarios cluster. Cela ne remplace pas un filesystem cluster ou une application cluster-aware.

az disk update --name disk01 --resource-group rg --size-gb 2048
az disk update --name disk01 --resource-group rg --set diskIOPSReadWrite=12000 diskMBpsReadWrite=500
az monitor metrics list --resource  --metric "Disk Read Operations/Sec"
20.9 Sécurité Blob : RBAC, SAS, private endpoints, immutability
  • RBAC Azure AD/Entra ID quand possible.
  • Désactiver shared key si architecture le permet.
  • SAS courte durée et scoped.
  • Private Endpoint pour accès privé.
  • Storage firewall et allowed networks.
  • CMK via Key Vault si requis.
  • Immutable policies, legal hold, soft delete.
Une SAS longue durée équivaut souvent à un mot de passe de stockage. La limiter par durée, IP, permissions, protocole HTTPS et scope.
Time-based retentionEmpêche modification/suppression pendant durée.
Legal holdConservation jusqu’à retrait explicite.
VersioningHistorique des blobs.
Soft deleteRécupération après suppression.
  • Diagnostic settings vers Log Analytics.
  • Activity Logs.
  • Defender for Storage.
  • Azure Policy pour public access/shared key.
20.10 FinOps Blob : tiers, transactions, retrieval, lifecycle
PosteDéclencheurPiège
CapacityGo/mois par tier.Versions et soft delete conservés.
TransactionsRead/write/list operations.Petits objets et listing fréquents.
RetrievalCool/Cold/Archive reads.Restore massif coûteux.
RehydrationArchive vers online tier.Délai + coût.
ReplicationGRS/GZRS/object replication.Stockage et transfert.
  • Lifecycle par container/prefix.
  • Expiration anciennes versions.
  • Suppression logs temporaires.
  • Budgets par resource group.
  • Tags owner/cost center.
  • Analyse des blobs non accédés.
Hot 30d → Cool 90d → Cold 180d → Archive 365d → Delete selon rétention métier
20.11 Azure Files design : premium, identity, snapshots, sync
AspectQuestion
ProtocolSMB ou NFS ? Windows, Linux, AKS ?
TierStandard ou Premium provisionné ?
IdentityAD DS, Entra Kerberos, storage key ?
NetworkPrivate Endpoint, firewall, DNS ?
BackupShare snapshots, Azure Backup ?

Azure File Sync permet de garder des serveurs Windows on-prem comme cache local tout en centralisant les données dans Azure Files. Utile pour sites distants et migration progressive.

  • Premium pour workloads exigeants.
  • Mesurer latence SMB/NFS.
  • Éviter millions de petits fichiers sans test.
  • Surveiller quotas et transactions.
20.12 Azure NetApp Files en profondeur
NiveauPositionnement
StandardWorkloads généraux.
PremiumWorkloads plus exigeants.
UltraTrès haut débit/latence stricte.

Les performances ANF sont liées au service level et à la capacité provisionnée dans les pools.

  • Snapshots rapides et efficaces.
  • Rétention par policy.
  • Clones pour dev/test.
  • Restores rapides selon scénario.

Cross-region replication permet de protéger des volumes ANF vers une autre région selon disponibilité. Tester failover applicatif, DNS et reconnect clients.

  • SAP HANA.
  • Oracle NFS.
  • Enterprise file shares.
  • HPC et VDI.
  • Migrations NetApp on-prem.
20.13 Archive Azure : Blob archive, rehydration, compliance

Le tier Archive est offline : le blob doit être réhydraté vers Hot/Cool/Cold avant lecture. Il convient aux données conservées longtemps et rarement consultées.

  1. Identifier blob/version.
  2. Lancer rehydrate vers tier online.
  3. Choisir priorité standard/high selon besoin.
  4. Attendre disponibilité.
  5. Lire/copier données.
  6. Documenter délai réel.
  • Immutable storage.
  • Legal hold.
  • Time-based retention.
  • Audit logs.
  • Lifecycle contrôlé.
Archive ne convient pas si le RTO métier est court. Le restore peut prendre des heures et générer des coûts de rehydration/retrieval.
20.14 DR et réplication Azure : ZRS, GRS, GZRS, ASR
OptionSens
LRSCopies dans un datacenter/région.
ZRSCopies entre zones d’une région.
GRSRéplication vers région secondaire.
GZRSZRS primaire + réplication géographique.
RA-GRS/RA-GZRSLecture possible région secondaire selon option.
  • Blob object replication.
  • Azure Backup cross-region restore selon options.
  • ASR pour VM failover/failback.
  • ANF cross-region replication.
  • SQL/Azure DB geo-replication selon service.
  1. Définir applications et dépendances.
  2. Tester failover isolé.
  3. Vérifier DNS, private endpoints, identities.
  4. Valider données.
  5. Mesurer RTO/RPO.
20.15 Azure Storage pour AKS : Azure Disk CSI, Azure Files CSI
BesoinDriverMode
Bloc RWOAzure Disk CSIDB, StatefulSet, volume zonal.
RWX SMB/NFSAzure Files CSIUploads, shared config, CMS.
Enterprise NFS/SMBANF CSI / Trident selon designSAP/Oracle/enterprise file.
ObjectSDK Blob / Blob CSI selon casData lake, assets, logs.

Les disques Azure sont attachés à des nœuds compatibles zone. Utiliser StorageClasses adaptées, zones, node pools et anti-affinity.

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: managed-premium
provisioner: disk.csi.azure.com
parameters:
  skuName: Premium_LRS
reclaimPolicy: Delete
allowVolumeExpansion: true
volumeBindingMode: WaitForFirstConsumer
20.16 Bases de données sur Azure storage : SQL Server, Azure SQL, PITR
  • Data/log/tempdb sur disques séparés selon besoin.
  • Premium SSD v2 ou Ultra Disk pour forte I/O.
  • Read cache selon recommandations SQL.
  • Azure Backup ou SQL native backups.
  • Always On / ASR selon DR.
Azure SQL DatabasePITR, backups automatiques, HA managée.
SQL Managed InstanceCompatibilité SQL Server élevée.
PostgreSQL/MySQL Flexible ServerBackups, HA zones selon config.
Cosmos DBReplication globale, backups selon mode.
Pour bases critiques, valider RPO/RTO par restauration réelle : PITR, backup natif, restore cross-region et cohérence applicative.
20.17 Analytics / IA / Data Lake : ADLS Gen2, Synapse, Databricks
IngestADLS Gen2 rawDatabricks/SynapseDelta/Parquet curatedBI / ML / Fabric

ADLS Gen2 ajoute un namespace hiérarchique à Blob Storage, utile pour analytics, ACL, répertoires, workloads Spark et gouvernance data lake.

  • Parquet/Delta plutôt que petits JSON bruts en masse.
  • Zones raw/clean/curated.
  • Catalog et lineage.
  • Lifecycle sur raw froid.
  • Private endpoints et RBAC/ACL cohérents.
20.18 Hybrid enterprise : File Sync, Arc, Data Box, ExpressRoute
PatternService
File server cloud tieringAzure File Sync.
Backup cloudAzure Backup/MARS/MABS selon cas.
DR datacenterAzure Site Recovery.
Migration massiveAzure Data Box.
Management hybrideAzure Arc.
Connexion privéeExpressRoute.

Azure File Sync garde des serveurs Windows locaux comme caches d’Azure Files. Les utilisateurs accèdent localement, les données sont centralisées dans Azure avec cloud tiering.

L’hybride ajoute dépendance WAN, identité, DNS, latence et runbooks de perte lien. Tester la dégradation avant production.
20.19 Accès privé & réseau : Private Endpoint, firewall, DNS
MécanismeUsage
Private EndpointIP privée dans VNet pour Storage/Files/Blob.
Service EndpointAccès via backbone Azure avec restrictions.
Storage firewallLimiter réseaux/IP autorisés.
Private DNS ZoneRésolution correcte vers IP privées.
ExpressRouteConnexion privée depuis on-prem.
  • Ne pas exposer SMB/NFS publiquement.
  • Contrôler ports et subnets.
  • Valider DNS privé côté on-prem.
  • Surveiller latence et throughput.
az network private-endpoint list
nslookup mystorage.privatelink.blob.core.windows.net
Test-NetConnection mystorage.file.core.windows.net -Port 445
az storage account show --name mystorage --query networkRuleSet
20.20 Observabilité Azure Storage : Monitor, logs, Defender, Cost
ServiceMétriques
Managed DisksIOPS, throughput, latency, bursting.
BlobTransactions, ingress/egress, capacity, availability.
Azure FilesTransactions, latency, capacity, throttling.
ANFThroughput, latency, volume usage.
Backup/ASRJob status, replication health.
  • Diagnostic settings vers Log Analytics.
  • Activity Log pour modifications.
  • Defender for Storage alerts.
  • Azure Policy compliance.
  • Cost Management budgets.
  • Disk latency élevée.
  • Storage account public access change.
  • Backup failed.
  • ASR replication unhealthy.
  • File share quota high.
  • Cost anomaly.
20.21 Modèle de coûts Azure Storage
ServiceCoûts principaux
Managed DisksCapacité, tier, IOPS/throughput pour certains types, snapshots.
BlobCapacity, tier, transactions, retrieval, rehydration, replication.
Azure FilesProvisioned/used, transactions, snapshots, premium provisioned.
ANFCapacity pools, service level.
Backup/ASRProtected instances, storage, replication, transactions.
Coût Azure Storage = capacité + performance + transactions + protection + réplication + retrieval + réseau + oubli
  • Tags obligatoires.
  • Budgets par subscription/resource group.
  • Lifecycle Blob.
  • Snapshots et disks unattached à purger.
  • Revue monthly de Backup/ASR.
20.22 Anti-patterns Azure Storage
Anti-patternImpactCorrection
Blob public involontaireFuite données.Disable public access + Policy.
SAS longue duréeSecret incontrôlé.SAS courte, user delegation SAS.
Shared key activée partoutContournement RBAC.Désactiver si possible.
Archive pour RTO courtRestore trop lent.Cold/Cool ou backup chaud.
Disk SKU sous-dimensionnéLatence application.Mesurer et ajuster.
Backup non testéFaux sentiment de sécurité.Restore drills.
  • Storage accounts sans diagnostic settings.
  • Pas de Private Endpoint pour données internes.
  • Recovery vault sans soft delete/immutability.
  • Disques unattached persistants.
  • Containers sans lifecycle.
20.23 Runbooks incidents Azure Storage
  1. Identifier identité : user, managed identity, SAS, shared key.
  2. Vérifier RBAC et ACL ADLS si Gen2.
  3. Vérifier firewall/private endpoint.
  4. Vérifier SAS expiry/permissions/IP.
  5. Vérifier Key Vault/CMK si encryption.
  6. Consulter logs.
  1. Confirmer côté OS : filesystem, queue, latency.
  2. Consulter Azure Monitor metrics.
  3. Étendre disque ou changer SKU/performance.
  4. Rescan OS, agrandir partition/filesystem.
  5. Post-mortem capacity/performance.
  1. Tester DNS et port 445/2049.
  2. Vérifier Private Endpoint/firewall.
  3. Vérifier identité/clé/AD.
  4. Vérifier quota share.
  5. Tester mount manuel.
  1. Vérifier replication health.
  2. Lancer test failover si non urgent.
  3. Valider réseau cible.
  4. Exécuter failover planifié/non planifié.
  5. Valider application.
  6. Préparer failback.
20.24 Checklist production Azure Storage
ContrôleOK ?Note
Service adapté au protocoleDisks/Blob/Files/ANF.
Redondance choisieLRS/ZRS/GRS/GZRS selon SLA.
Private accessPrivate Endpoint/DNS/firewall.
RBAC/IdentityManaged identity, no long SAS.
Encryption/KMSMicrosoft-managed ou CMK.
Backup/ASR testéRestore/failover drills.
  • Azure Monitor alerts.
  • Diagnostic settings vers Log Analytics.
  • Defender/Policy selon criticité.
  • Budgets et Cost Management.
  • Lifecycle Blob et rétention snapshots.
  • Tags owner/env/data_class.
  • Public access désactivé sauf exception.
  • Shared key désactivée si possible.
  • SAS courte durée.
  • Immutable storage pour backups critiques.
  • Vault immutability/soft delete.
NO-GO si : blob public non justifié, SAS longue durée, pas de restore testé, disque critique sans monitoring, ASR jamais testé, lifecycle absent, réseau privé/DNS non validés.