Linux Sin Humo (Publicaciones sobre Azure)https://sergiobelkin.com/esContents © 2026 <a href="mailto:sebelk@gmail.com">sebelk</a> <a rel="license" href="https://creativecommons.org/licenses/by-nc-sa/4.0/"> <img alt="Creative Commons License BY-NC-SA" style="border-width:0; margin-bottom:12px;" src="https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png"></a> Mon, 27 Apr 2026 21:45:59 GMTNikola (getnikola.com)http://blogs.law.harvard.edu/tech/rss3 Power Tips + Power Link I11https://sergiobelkin.com/posts/3-power-tips-power-link-i11/sebelk<figure><img src="https://sergiobelkin.com/images/PowerTipsPlus.png"></figure> <p>Las PTs de este issue muestran cómo, incluso en la nube (en este caso Azure), siguen aplicando conceptos clásicos de sistemas: distinguir entre ejecución y estado, entender la irreversibilidad de ciertos valores (como secrets) y operar en ausencia de un mapeo explícito entre componentes.</p> <h3 id="power-tip-1-el-exit-code-es-local-no-de-azure">Power Tip #1 El exit code es local, no de Azure</h3> <p><strong>El comando volvió con <code>0</code> y la app sigue cayéndose.</strong></p> <ul> <li><code>az</code> reporta éxito al recibir el ACK del control plane.</li> <li>El recurso queda en <code>Updating</code> o <code>Creating</code> por minutos.</li> <li>El siguiente paso del script lo encuentra "no listo" y falla raro.</li> </ul> <div class="code"><pre class="code literal-block">az<span class="w"> </span>resource<span class="w"> </span>show<span class="w"> </span>--ids<span class="w"> </span><span class="s2">"</span><span class="nv">$id</span><span class="s2">"</span><span class="w"> </span>--query<span class="w"> </span><span class="s2">"properties.provisioningState"</span><span class="w"> </span>-o<span class="w"> </span>tsv </pre></div> <p><code>provisioningState</code> es un testigo más confiable del control plane.</p> <hr> <h3 id="power-tip-2-el-valor-del-secret-se-entrega-una-sola-vez">Power Tip #2 El valor del secret se entrega una sola vez</h3> <p><strong>La alerta de vencimiento de un secret se "resolvió" pero la app igual se cae.</strong></p> <ul> <li><code>credential reset</code> devolvió el password en stdout.</li> <li>Lo perdiste antes de guardarlo en el vault.</li> <li>Entra ID considera el secret válido. Nadie puede usarlo.</li> </ul> <div class="code"><pre class="code literal-block">az<span class="w"> </span>ad<span class="w"> </span>app<span class="w"> </span>credential<span class="w"> </span>reset<span class="w"> </span>--append<span class="w"> </span>...<span class="w"> </span>--query<span class="w"> </span>password<span class="w"> </span>-o<span class="w"> </span>tsv </pre></div> <p>Si se perdió el valor generado, no se puede recuperar. Como perder una clave privada SSH: podés crear otra, pero no reconstruir la anterior.</p> <hr> <h3 id="power-tip-3-el-mapeo-no-vive-donde-uno-espera">Power Tip #3 El mapeo no vive donde uno espera</h3> <p><strong>Sabés que la app usa un secret de un KV. No sabés cuál.</strong></p> <ul> <li>App Registration no declara qué KV la consume.</li> <li>Key Vault no mantiene, por defecto, una relación nativa con la App Registration que originó el secret.</li> <li>El nombre del secret en KV es convención del equipo responsable, no metadato de Azure.</li> </ul> <div class="code"><pre class="code literal-block"><span class="k">for</span><span class="w"> </span>kv<span class="w"> </span><span class="k">in</span><span class="w"> </span><span class="k">$(</span>az<span class="w"> </span>keyvault<span class="w"> </span>list<span class="w"> </span>--query<span class="w"> </span><span class="s2">"[].name"</span><span class="w"> </span>-o<span class="w"> </span>tsv<span class="k">)</span><span class="p">;</span><span class="w"> </span><span class="k">do</span> <span class="w"> </span>az<span class="w"> </span>keyvault<span class="w"> </span>secret<span class="w"> </span>list<span class="w"> </span>--vault-name<span class="w"> </span><span class="s2">"</span><span class="nv">$kv</span><span class="s2">"</span><span class="w"> </span><span class="se">\</span> <span class="w"> </span>--query<span class="w"> </span><span class="s2">"[?contains(name, 'mi-superpower-app')].{kv:'</span><span class="nv">$kv</span><span class="s2">',name:name}"</span><span class="w"> </span>-o<span class="w"> </span>tsv <span class="k">done</span> </pre></div> <p>Si para rotar un secret tenés que salir a buscarlo, no está definido en ningún lado qué secret usa esa app.</p>Azurebashhttps://sergiobelkin.com/posts/3-power-tips-power-link-i11/Mon, 27 Apr 2026 16:57:09 GMT