Questions d’entretien Senior Azure Cloud Engineer

Introduction

Une bonne réponse d’ingénieur cloud Azure senior doit montrer une expérience de production, pas seulement une liste de services. Commencez par clarifier le besoin, puis choisissez les services Azure, le modèle réseau, l’approche d’identité, les contrôles de coûts, la supervision et les compromis adaptés.

Utilisez ce guide pour vous entraîner à répondre à des scénarios sur l’architecture multirégion, ExpressRoute, AKS, Bicep, Azure SQL, Functions, l’optimisation des coûts et la sécurité. Pour votre CV, reprenez ces thèmes avec des projets précis : ce que vous avez conçu, les contraintes clés et ce que votre travail a amélioré.

Architecture et conception

1. Concevoir une application multirégionale à haute disponibilité sur Azure.

Réponse : Dans une réponse senior, commencez par l’objectif du workload : RTO/RPO, actif-actif ou actif-passif, cohérence des données et coût d’exploitation. Pour les applications HTTP(S) publiques, Azure Front Door est souvent le point d’entrée global ; Traffic Manager reste utile pour le routage DNS et les scénarios de bascule non HTTP.

Architecture multirégionale de niveau entreprise pour une haute disponibilité et une reprise après sinistre :

Loading diagram...

Composants clés :

1. Équilibrage de charge global :

# Créer un profil Traffic Manager
az network traffic-manager profile create \
  --name myTMProfile \
  --resource-group myResourceGroup \
  --routing-method Performance \
  --unique-dns-name mytmprofile

# Ajouter des points de terminaison
az network traffic-manager endpoint create \
  --name eastus-endpoint \
  --profile-name myTMProfile \
  --resource-group myResourceGroup \
  --type azureEndpoints \
  --target-resource-id /subscriptions/.../appgw-eastus

2. Composants régionaux :

Passerelle d'application (équilibreur de charge de couche 7)
Groupes de machines virtuelles identiques avec mise à l'échelle automatique
Azure SQL avec géo-réplication
Stockage géo-redondant (GRS)

3. Réplication des données :

# Configurer la géo-réplication SQL
az sql db replica create \
  --name myDatabase \
  --resource-group myResourceGroup \
  --server primary-server \
  --partner-server secondary-server \
  --partner-resource-group myResourceGroup

Principes de conception :

Actif-actif ou actif-passif
Basculement automatisé
Cohérence des données entre les régions
Optimisation des coûts avec les instances réservées

Rareté : Très courant Difficulté : Difficile

Réseau avancé

2. Expliquer Azure ExpressRoute et quand l'utiliser.

Réponse : ExpressRoute fournit une connectivité privée et dédiée entre l'infrastructure sur site et Azure.

Avantages :

Connexion privée (pas via Internet)
Fiabilité et vitesse supérieures
Latences plus faibles
Sécurité accrue
Bande passante jusqu'à 100 Gbit/s

Modèles de connectivité :

Co-location CloudExchange : Dans un centre de co-location
Ethernet point à point : Connexion directe
Any-to-Any (IPVPN) : Via un fournisseur de réseau

vs Passerelle VPN :

Caractéristique	ExpressRoute	Passerelle VPN
Connexion	Privée	Via Internet
Bande passante	Jusqu'à 100 Gbit/s	Jusqu'à 10 Gbit/s
Latence	Constante, faible	Variable
Coût	Plus élevé	Plus faible
Configuration	Complexe	Simple

Cas d'utilisation :

Migrations de données importantes
Scénarios de cloud hybride
Reprise après sinistre
Exigences de conformité
Besoins de performances cohérentes

Rareté : Courant Difficulté : Moyenne-Difficile

Services de conteneurs

3. Comment déployer et gérer des applications sur Azure Kubernetes Service (AKS) ?

Réponse : AKS est un service Kubernetes géré pour l'orchestration de conteneurs.

Processus de déploiement :

1. Créer un cluster AKS :

# Créer un cluster AKS
az aks create \
  --resource-group myResourceGroup \
  --name myAKSCluster \
  --node-count 3 \
  --enable-addons monitoring \
  --generate-ssh-keys \
  --network-plugin azure \
  --enable-managed-identity

# Obtenir les informations d'identification
az aks get-credentials \
  --resource-group myResourceGroup \
  --name myAKSCluster

2. Déployer l'application :

# deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
  template:
    metadata:
      labels:
        app: myapp
    spec:
      containers:
      - name: myapp
        image: myregistry.azurecr.io/myapp:v1
        ports:
        - containerPort: 80
        resources:
          requests:
            cpu: 100m
            memory: 128Mi
          limits:
            cpu: 250m
            memory: 256Mi
---
apiVersion: v1
kind: Service
metadata:
  name: myapp-service
spec:
  type: LoadBalancer
  ports:
  - port: 80
  selector:
    app: myapp

# Déployer
kubectl apply -f deployment.yaml

# Mettre à l'échelle
kubectl scale deployment myapp --replicas=5

# Mettre à jour l'image
kubectl set image deployment/myapp myapp=myregistry.azurecr.io/myapp:v2

3. Surveillance et gestion :

Azure Monitor pour les conteneurs
Log Analytics
Application Insights
Azure Policy pour la gouvernance

Rareté : Très courant Difficulté : Difficile

Infrastructure en tant que code

4. Comment utiliser les modèles ARM ou Bicep pour le déploiement de l'infrastructure ?

Réponse : Les modèles ARM (ou Bicep) permettent un déploiement déclaratif de l'infrastructure.

Exemple Bicep :

// main.bicep
param location string = resourceGroup().location
param vmName string = 'myVM'
param adminUsername string

@secure()
param adminPassword string

resource vnet 'Microsoft.Network/virtualNetworks@2021-02-01' = {
  name: 'myVNet'
  location: location
  properties: {
    addressSpace: {
      addressPrefixes: [
        '10.0.0.0/16'
      ]
    }
    subnets: [
      {
        name: 'default'
        properties: {
          addressPrefix: '10.0.1.0/24'
        }
      }
    ]
  }
}

resource nic 'Microsoft.Network/networkInterfaces@2021-02-01' = {
  name: '${vmName}-nic'
  location: location
  properties: {
    ipConfigurations: [
      {
        name: 'ipconfig1'
        properties: {
          subnet: {
            id: vnet.properties.subnets[0].id
          }
          privateIPAllocationMethod: 'Dynamic'
        }
      }
    ]
  }
}

resource vm 'Microsoft.Compute/virtualMachines@2021-03-01' = {
  name: vmName
  location: location
  properties: {
    hardwareProfile: {
      vmSize: 'Standard_B2s'
    }
    osProfile: {
      computerName: vmName
      adminUsername: adminUsername
      adminPassword: adminPassword
    }
    storageProfile: {
      imageReference: {
        publisher: 'Canonical'
        offer: 'UbuntuServer'
        sku: '18.04-LTS'
        version: 'latest'
      }
    }
    networkProfile: {
      networkInterfaces: [
        {
          id: nic.id
        }
      ]
    }
  }
}

output vmId string = vm.id

Déployer :

# Déployer le modèle Bicep
az deployment group create \
  --resource-group myResourceGroup \
  --template-file main.bicep \
  --parameters adminUsername=azureuser adminPassword='P@ssw0rd123!'

# Valider avant de déployer
az deployment group validate \
  --resource-group myResourceGroup \
  --template-file main.bicep

Avantages :

Contrôle de version
Déploiements reproductibles
Cohérence entre les environnements
Tests automatisés

Rareté : Très courant Difficulté : Moyenne-Difficile

Optimisation des coûts

5. Comment optimiser les coûts Azure ?

Réponse : L'optimisation des coûts nécessite une surveillance continue et des décisions stratégiques :

Stratégies :

1. Dimensionnement approprié :

# Utiliser les recommandations d'Azure Advisor
az advisor recommendation list \
  --category Cost \
  --output table

2. Instances réservées :

Engagements de 1 ou 3 ans
Jusqu'à 72 % d'économies
VM, SQL Database, Cosmos DB

3. Azure Hybrid Benefit :

Utiliser les licences Windows Server existantes
Jusqu'à 40 % d'économies sur les VM

4. Arrêt automatique :

# Configurer l'arrêt automatique de la VM
az vm auto-shutdown \
  --resource-group myResourceGroup \
  --name myVM \
  --time 1900 \
  --email [email protected]

5. Optimisation du stockage :

Utiliser les niveaux d'accès appropriés
Politiques de gestion du cycle de vie
Supprimer les instantanés inutilisés

6. Surveillance :

Azure Cost Management
Alertes de budget
Balisage des ressources

# Créer un budget
az consumption budget create \
  --budget-name monthly-budget \
  --amount 1000 \
  --time-grain Monthly \
  --start-date 2024-01-01 \
  --end-date 2024-12-31

Rareté : Très courant Difficulté : Moyenne

Sécurité et conformité

6. Comment mettre en œuvre les meilleures pratiques de sécurité dans Azure ?

Réponse : Approche de sécurité multicouche :

1. Sécurité du réseau :

# Créer un NSG avec des règles restrictives
az network nsg create \
  --resource-group myResourceGroup \
  --name myNSG

# Refuser tout le trafic entrant par défaut, autoriser spécifiquement
az network nsg rule create \
  --resource-group myResourceGroup \
  --nsg-name myNSG \
  --name DenyAllInbound \
  --priority 4096 \
  --access Deny \
  --direction Inbound

2. Sécurité de l'identité :

Identités managées (pas d'informations d'identification dans le code)
Politiques d'accès conditionnel
Application de MFA
Privileged Identity Management (PIM)

3. Protection des données :

# Activer le chiffrement au repos
az storage account update \
  --name mystorageaccount \
  --resource-group myResourceGroup \
  --encryption-services blob file

# Activer TDE pour SQL
az sql db tde set \
  --resource-group myResourceGroup \
  --server myserver \
  --database mydatabase \
  --status Enabled

4. Surveillance et conformité :

Microsoft Defender for Cloud
Microsoft Sentinel (SIEM)
Azure Policy pour la gouvernance
Compliance Manager

5. Gestion des clés :

# Créer Key Vault
az keyvault create \
  --name myKeyVault \
  --resource-group myResourceGroup \
  --location eastus

# Stocker un secret
az keyvault secret set \
  --vault-name myKeyVault \
  --name DatabasePassword \
  --value 'P@ssw0rd123!'

Rareté : Très courant Difficulté : Difficile

Services de base de données

7. Comment mettre en œuvre la haute disponibilité pour Azure SQL Database ?

Réponse : Azure SQL Database offre plusieurs options de HA :

1. Haute disponibilité intégrée :

Automatique dans tous les niveaux
SLA de 99,99 %
Sauvegardes automatiques
Restauration à un point dans le temps

2. Géo-réplication active :

# Créer une base de données secondaire (réplica en lecture)
az sql db replica create \
  --resource-group myResourceGroup \
  --server primary-server \
  --name myDatabase \
  --partner-server secondary-server \
  --partner-resource-group myResourceGroup

# Basculer vers le secondaire
az sql db replica set-primary \
  --name myDatabase \
  --resource-group myResourceGroup \
  --server secondary-server

3. Groupes de basculement automatique :

# Créer un groupe de basculement
az sql failover-group create \
  --name my-failover-group \
  --resource-group myResourceGroup \
  --server primary-server \
  --partner-server secondary-server \
  --partner-resource-group myResourceGroup \
  --failover-policy Automatic \
  --grace-period 1 \
  --add-db myDatabase

# Lancer le basculement
az sql failover-group set-primary \
  --name my-failover-group \
  --resource-group myResourceGroup \
  --server secondary-server

Architecture :

Loading diagram...

Niveaux de service :

Niveau	Cas d'utilisation	Fonctionnalités HA	Taille max
De base	Développement/test	HA intégrée	2 Go
Standard	Production	HA intégrée, géo-réplication	1 To
Premium	Critique	HA intégrée, géo-réplication, scale-out en lecture	4 To
Hyperscale	Grandes bases de données	HA intégrée, sauvegardes rapides	100 To

Chaîne de connexion (avec basculement) :

// Exemple .NET
string connectionString = 
    "Server=tcp:my-failover-group.database.windows.net,1433;" +
    "Initial Catalog=myDatabase;" +
    "Persist Security Info=False;" +
    "User ID=myuser;" +
    "Password=mypassword;" +
    "MultipleActiveResultSets=False;" +
    "Encrypt=True;" +
    "TrustServerCertificate=False;" +
    "Connection Timeout=30;" +
    "ApplicationIntent=ReadWrite;";  // or ReadOnly for secondary

Surveillance :

# Vérifier le délai de réplication
az sql db replica list-links \
  --name myDatabase \
  --resource-group myResourceGroup \
  --server primary-server

# Afficher les métriques
az monitor metrics list \
  --resource /subscriptions/.../databases/myDatabase \
  --metric "connection_successful" \
  --start-time 2024-11-26T00:00:00Z

Meilleures pratiques :

Utiliser des groupes de basculement pour le basculement automatique
Tester régulièrement les procédures de basculement
Surveiller le délai de réplication
Utiliser des réplicas en lecture seule pour la création de rapports
Mettre en œuvre une logique de nouvelle tentative dans les applications

Rareté : Très courant Difficulté : Difficile

Informatique sans serveur

8. Comment concevoir et déployer des Azure Functions à l'échelle ?

Réponse : Azure Functions est un service de calcul sans serveur pour les applications événementielles.

Plans d'hébergement :

Plan	Cas d'utilisation	Mise à l'échelle	Délai d'attente	Coût
Consommation	Événementiel, sporadique	Automatique, illimité	5 min (par défaut)	Paiement à l'exécution
Premium	Production, VNet	Pré-chauffé, illimité	30 min (par défaut)	Instances toujours actives
Dédié	Utilisation prévisible	Manuel/auto	Illimité	Tarification App Service

Exemple de fonction :

// Déclencheur HTTP C#
using System.IO;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Azure.WebJobs;
using Microsoft.Azure.WebJobs.Extensions.Http;
using Microsoft.AspNetCore.Http;
using Microsoft.Extensions.Logging;

public static class HttpTriggerFunction
{
    [FunctionName("ProcessOrder")]
    public static async Task<IActionResult> Run(
        [HttpTrigger(AuthorizationLevel.Function, "post", Route = null)] HttpRequest req,
        [Queue("orders", Connection = "AzureWebJobsStorage")] IAsyncCollector<string> orderQueue,
        ILogger log)
    {
        log.LogInformation("Processing order request");
        
        string requestBody = await new StreamReader(req.Body).ReadToEndAsync();
        
        // Validate and process
        if (string.IsNullOrEmpty(requestBody))
        {
            return new BadRequestObjectResult("Order data is required");
        }
        
        // Add to queue for processing
        await orderQueue.AddAsync(requestBody);
        
        return new OkObjectResult(new { message = "Order queued successfully" });
    }
}

Déploiement :

# Créer une Function App
az functionapp create \
  --resource-group myResourceGroup \
  --consumption-plan-location eastus \
  --runtime dotnet \
  --functions-version 4 \
  --name myFunctionApp \
  --storage-account mystorageaccount

# Déployer depuis le local
func azure functionapp publish myFunctionApp

# Configurer les paramètres de l'application
az functionapp config appsettings set \
  --name myFunctionApp \
  --resource-group myResourceGroup \
  --settings \
    "DatabaseConnection=..." \
    "ApiKey=..."

# Activer Application Insights
az functionapp config appsettings set \
  --name myFunctionApp \
  --resource-group myResourceGroup \
  --settings "APPINSIGHTS_INSTRUMENTATIONKEY=..."

Déclencheurs et liaisons :

// function.json
{
  "bindings": [
    {
      "type": "queueTrigger",
      "direction": "in",
      "name": "orderMessage",
      "queueName": "orders",
      "connection": "AzureWebJobsStorage"
    },
    {
      "type": "blob",
      "direction": "out",
      "name": "outputBlob",
      "path": "processed/{rand-guid}.json",
      "connection": "AzureWebJobsStorage"
    },
    {
      "type": "cosmosDB",
      "direction": "out",
      "name": "outputDocument",
      "databaseName": "OrdersDB",
      "collectionName": "Orders",
      "createIfNotExists": true,
      "connectionStringSetting": "CosmosDBConnection"
    }
  ]
}

Durable Functions (Orchestration) :

// Fonction d'orchestration
[FunctionName("OrderOrchestrator")]
public static async Task<object> RunOrchestrator(
    [OrchestrationTrigger] IDurableOrchestrationContext context)
{
    var order = context.GetInput<Order>();
    
    // Step 1: Validate order
    var isValid = await context.CallActivityAsync<bool>("ValidateOrder", order);
    if (!isValid)
    {
        return new { status = "Invalid order" };
    }
    
    // Step 2: Process payment
    var paymentResult = await context.CallActivityAsync<PaymentResult>("ProcessPayment", order);
    
    // Step 3: Update inventory
    await context.CallActivityAsync("UpdateInventory", order);
    
    // Step 4: Send notification
    await context.CallActivityAsync("SendNotification", order);
    
    return new { status = "Order processed", orderId = order.Id };
}

Configuration de la mise à l'échelle :

// host.json
{
  "version": "2.0",
  "extensions": {
    "queues": {
      "maxPollingInterval": "00:00:02",
      "batchSize": 16,
      "maxDequeueCount": 5,
      "newBatchThreshold": 8
    },
    "http": {
      "routePrefix": "api",
      "maxConcurrentRequests": 100,
      "maxOutstandingRequests": 200
    }
  },
  "functionTimeout": "00:05:00"
}

Meilleures pratiques :

Utiliser le plan Premium pour les charges de travail de production
Mettre en œuvre l'idempotence pour les déclencheurs de file d'attente
Utiliser Durable Functions pour les workflows complexes
Surveiller avec Application Insights
Définir des valeurs de délai d'attente appropriées
Utiliser des identités managées pour l'authentification

Rareté : Très courant Difficulté : Difficile

Réseau avancé

9. Expliquer le peering de VNet et ses cas d'utilisation.

Réponse : Le peering de VNet connecte deux réseaux virtuels Azure de manière privée.

Types :

1. Peering de VNet régional :

Même région
Faible latence
Aucune contrainte de bande passante

2. Peering de VNet global :

Régions différentes
Connectivité inter-régions
Latence légèrement plus élevée

Architecture :

Loading diagram...

Configuration :

# Créer un peering de VNet (A vers B)
az network vnet peering create \
  --name vnetA-to-vnetB \
  --resource-group myResourceGroup \
  --vnet-name vnetA \
  --remote-vnet /subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/vnetB \
  --allow-vnet-access \
  --allow-forwarded-traffic

# Créer un peering inverse (B vers A)
az network vnet peering create \
  --name vnetB-to-vnetA \
  --resource-group myResourceGroup \
  --vnet-name vnetB \
  --remote-vnet /subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/vnetA \
  --allow-vnet-access \
  --allow-forwarded-traffic

# Vérifier l'état du peering
az network vnet peering show \
  --name vnetA-to-vnetB \
  --resource-group myResourceGroup \
  --vnet-name vnetA \
  --query peeringState

Caractéristiques :

Non transitif : A↔B, B↔C ne signifie pas A↔C
Pas de chevauchement d'IP : Les VNets doivent avoir des espaces d'adressage non chevauchants
Connectivité privée : Utilise le réseau principal Azure
Pas de temps d'arrêt : Peut être créé sur des VNets existants
Inter-abonnement : Peut appairer des VNets dans différents abonnements

Topologie Hub-Spoke :

# VNet Hub avec des services partagés
# VNet Spoke pour différentes applications/équipes

# Activer le transit de la passerelle (le hub a une passerelle VPN)
az network vnet peering update \
  --name hub-to-spoke1 \
  --resource-group myResourceGroup \
  --vnet-name hub-vnet \
  --set allowGatewayTransit=true

# Utiliser une passerelle distante (le spoke utilise la passerelle du hub)
az network vnet peering update \
  --name spoke1-to-hub \
  --resource-group myResourceGroup \
  --vnet-name spoke1-vnet \
  --set useRemoteGateways=true

vs Passerelle VPN :

Caractéristique	Peering de VNet	Passerelle VPN
Latence	Faible (réseau principal Azure)	Plus élevée (chiffrée)
Bande passante	Aucune limite	Limitée par la référence SKU de la passerelle
Coût	Transfert de données uniquement	Passerelle + transfert de données
Configuration	Simple	Plus complexe
Chiffrement	Non (réseau privé)	Oui (IPsec)

Cas d'utilisation :

Architecture hub-spoke : Services partagés centralisés
Connectivité multirégionale : Connecter les régions
Collaboration inter-équipes : VNets séparés par équipe
Reprise après sinistre : Répliquer dans une région différente
Cloud hybride : Connecter les VNets Azure

Surveillance :

# Afficher les métriques de peering
az monitor metrics list \
  --resource /subscriptions/.../virtualNetworks/vnetA \
  --metric "BytesSentRate" \
  --start-time 2024-11-26T00:00:00Z

Meilleures pratiques :

Planifier soigneusement les espaces d'adressage IP (pas de chevauchement)
Utiliser hub-spoke pour la gestion centralisée
Documenter les relations de peering
Surveiller les coûts de transfert de données
Utiliser des NSG pour le contrôle du trafic
Envisager d'utiliser Azure Virtual WAN pour les topologies complexes

Rareté : Courant Difficulté : Moyenne-Difficile

Conclusion

Les entretiens senior Azure évaluent souvent le jugement plus que la mémorisation. Préparez-vous à expliquer pourquoi vous avez choisi un service, comment il réagit en cas de panne, comment vous protégez l’identité et les frontières réseau, et comment vous suivez les coûts et la fiabilité après la mise en production.

Avant l’entretien, choisissez deux ou trois vrais projets Azure et reliez chacun à des décisions d’architecture, de réseau, d’automatisation, de sécurité, d’observabilité et de coûts. Vos réponses seront plus précises et votre CV montrera une responsabilité senior plutôt qu’une simple familiarité avec Azure.

Conseils carrière récents

Questions d’entretien Senior Azure Cloud Engineer : guide par scénarios

Introduction

Architecture et conception

1. Concevoir une application multirégionale à haute disponibilité sur Azure.

Réseau avancé

2. Expliquer Azure ExpressRoute et quand l'utiliser.

Services de conteneurs

3. Comment déployer et gérer des applications sur Azure Kubernetes Service (AKS) ?

Infrastructure en tant que code

4. Comment utiliser les modèles ARM ou Bicep pour le déploiement de l'infrastructure ?

Optimisation des coûts

5. Comment optimiser les coûts Azure ?

Sécurité et conformité

6. Comment mettre en œuvre les meilleures pratiques de sécurité dans Azure ?

Services de base de données

7. Comment mettre en œuvre la haute disponibilité pour Azure SQL Database ?

Informatique sans serveur

8. Comment concevoir et déployer des Azure Functions à l'échelle ?

Réseau avancé

9. Expliquer le peering de VNet et ses cas d'utilisation.

Conclusion

Conseils de carrière hebdomadaires qui fonctionnent vraiment

Conseils de carrière hebdomadaires qui fonctionnent vraiment

Articles Connexes

Questions d’entretien Senior AWS Cloud Engineer

Questions d'entretien Senior GCP Cloud Engineer

Questions d’entretien pour ingénieur sécurité senior

Votre Prochain Entretien n'est qu'à un CV

Partager cet article

Battez le Taux de Rejet ATS de 75%