مشاركة عبر

⁧⁩تهيئة الارتباط الخاص⁧⁩

  • مقالة

يمكنك الارتباط الخاص من الوصول إلى واجهة برمجة تطبيقات Azure ل FHIR عبر نقطة نهاية خاصة، وهي واجهة شبكة تربطك بشكل خاص وآمن باستخدام عنوان IP خاص من شبكتك الظاهرية. باستخدام الارتباط الخاص، يمكنك الوصول إلى خدماتنا بأمان من VNet كخدمة جهة أولى دون الحاجة إلى المرور عبر نظام أسماء المجالات العامة (DNS). توضح هذه المقالة كيفية إنشاء نقطة النهاية الخاصة واختبارها وإدارتها لواجهة برمجة تطبيقات Azure ل FHIR.

ملاحظة

لا يمكن نقل الارتباط الخاص ولا واجهة برمجة تطبيقات Azure ل FHIR من مجموعة موارد أو اشتراك إلى آخر بمجرد تمكين الارتباط الخاص. لإجراء نقل، احذف الارتباط الخاص أولا، ثم انقل واجهة برمجة تطبيقات Azure ل FHIR. إنشاء ارتباط خاص جديد بمجرد اكتمال النقل. تقييم تشعبات الأمان المحتملة قبل حذف الارتباط الخاص.

إذا تم تمكين تصدير سجلات التدقيق والمقاييس لواجهة برمجة تطبيقات Azure ل FHIR، فقم بتحديث إعداد التصدير من خلال إعدادات التشخيص من المدخل.

المتطلبات الأساسية

قبل إنشاء نقطة نهاية خاصة، هناك بعض موارد Azure التي ستحتاج إلى إنشائها أولا:

  • مجموعة الموارد - مجموعة موارد Azure التي ستحتوي على الشبكة الظاهرية ونقطة النهاية الخاصة.
  • واجهة برمجة تطبيقات Azure ل FHIR - مورد FHIR الذي ترغب في وضعه خلف نقطة نهاية خاصة.
  • الشبكة الظاهرية - الشبكة الظاهرية التي سيتم توصيل خدمات العميل ونقطة النهاية الخاصة بها.

لمزيد من المعلومات، راجع وثائق الارتباط الخاص.

إنشاء نقطة نهاية خاصة

لإنشاء نقطة نهاية خاصة، يمكن للمطور الذي لديه أذونات التحكم في الوصول استنادا إلى الدور (RBAC) على مورد FHIR استخدام مدخل Microsoft Azure أو Azure PowerShell أو Azure CLI. سترشدك هذه المقالة خلال الخطوات المتعلقة باستخدام مدخل Microsoft Azure. يوصى باستخدام مدخل Microsoft Azure لأنه يقوم بأتمتة إنشاء وتكوين منطقة DNS الخاصة. لمزيد من المعلومات، راجع إرشادات البدء السريع للارتباط الخاص.

هناك طريقتان لإنشاء نقطة نهاية خاصة. يسمح تدفق الموافقة التلقائية للمستخدم الذي لديه أذونات التحكم في الوصول استنادا إلى الدور على مورد FHIR بإنشاء نقطة نهاية خاصة دون الحاجة إلى الموافقة. يسمح تدفق الموافقة اليدوية للمستخدم دون أذونات على مورد FHIR بطلب نقطة نهاية خاصة للموافقة عليها من قبل مالكي مورد FHIR.

ملاحظة

عند إنشاء نقطة نهاية خاصة معتمدة لواجهة برمجة تطبيقات Azure ل FHIR، يتم تعطيل نسبة استخدام الشبكة العامة إليها تلقائيا.

الموافقة التلقائية

تأكد من أن منطقة نقطة النهاية الخاصة الجديدة هي نفسها المنطقة لشبكتك الظاهرية. يمكن أن تكون منطقة مورد FHIR مختلفة.

علامة تبويب أساسيات مدخل Microsoft Azure

بالنسبة لنوع المورد، ابحث عن Microsoft.HealthcareApis/services وحدده. بالنسبة للمورد، حدد مورد FHIR. بالنسبة إلى المورد الفرعي الهدف، حدد FHIR.

علامة تبويب مورد مدخل Microsoft Azure

إذا لم يكن لديك منطقة DNS خاصة موجودة، فحدد (جديد)privatelink.azurehealthcareapis.com. إذا كان لديك بالفعل منطقة DNS الخاصة بك مكونة، يمكنك تحديدها من القائمة. يجب أن يكون بتنسيق privatelink.azurehealthcareapis.com.

علامة تبويب تكوين مدخل Microsoft Azure

بعد اكتمال التوزيع، يمكنك العودة إلى علامة تبويب اتصالات نقطة النهاية الخاصة التي ستلاحظ الموافقة عليها كحالة اتصال.

الموافقة اليدوية

للموافقة اليدوية، حدد الخيار الثاني ضمن المورد، "الاتصال بمورد Azure حسب معرف المورد أو الاسم المستعار". بالنسبة إلى المورد الفرعي الهدف، أدخل "fhir" كما هو الحال في الموافقة التلقائية.

الموافقة اليدوية

بعد اكتمال التوزيع، يمكنك العودة إلى علامة التبويب "اتصالات نقطة النهاية الخاصة"، والتي يمكنك الموافقة على الاتصال أو رفضه أو إزالته.

الخيارات

نظير الشبكات الظاهرية

مع تكوين الارتباط الخاص، يمكنك الوصول إلى خادم FHIR في نفس الشبكة الظاهرية أو شبكة ظاهرية مختلفة يتم نظيرها إلى VNet لخادم FHIR. اتبع الخطوات أدناه لتكوين تناظر VNet وتكوين منطقة DNS للارتباط الخاص.

تكوين اقتران الشبكة الظاهرية

يمكنك تكوين نظير VNet من المدخل أو استخدام PowerShell والبرامج النصية CLI وقالب Azure Resource Manager (ARM). يمكن أن تكون الشبكة الظاهرية الثانية في نفس الاشتراكات أو اشتراكات مختلفة، وفي نفس المناطق أو مناطق مختلفة. تأكد من منح دور مساهم الشبكة . لمزيد من المعلومات حول تناظر الشبكة الظاهرية، راجع إنشاء تناظر شبكة ظاهرية.

في مدخل Microsoft Azure، حدد مجموعة الموارد لخادم FHIR. حدد منطقة DNS الخاصة وافتحها، privatelink.azurehealthcareapis.com. حدد ارتباطات الشبكة الظاهرية ضمن قسم الإعدادات . حدد الزر Add لإضافة VNet الثاني إلى منطقة DNS الخاصة. أدخل اسم الارتباط الذي تختاره، وحدد الاشتراك والشبكة الظاهرية التي أنشأتها. اختياريا، يمكنك إدخال معرف المورد للشبكة الظاهرية الثانية. حدد تمكين التسجيل التلقائي، الذي يضيف تلقائيا سجل DNS لجهازك الظاهري المتصل بالشبكة الظاهرية الثانية. عند حذف ارتباط VNet، يتم أيضا حذف سجل DNS للجهاز الظاهري.

لمزيد من المعلومات حول كيفية حل منطقة DNS للارتباط الخاص عنوان IP لنقطة النهاية الخاصة إلى اسم المجال المؤهل بالكامل (FQDN) للمورد مثل خادم FHIR، راجع تكوين Azure Private Endpoint DNS.

إضافة ارتباط VNet.

يمكنك إضافة المزيد من ارتباطات VNet إذا لزم الأمر، وعرض جميع ارتباطات VNet التي أضفتها من المدخل.

ارتباطات الشبكة الظاهرية للارتباط الخاص.

من جزء Overview، يمكنك عرض عناوين IP الخاصة لخادم FHIR والأجهزة الظاهرية المتصلة بالشبكات الظاهرية النظيرة.

Private Link FHIR وعناوين IP الخاصة بالجهاز الظاهري.

إدارة نقطة النهاية الخاصة

العرض

نقاط النهاية الخاصة ووحدة تحكم واجهة الشبكة المقترنة (NIC) مرئية في مدخل Microsoft Azure من مجموعة الموارد التي تم إنشاؤها فيها.

عرض في الموارد

حذف

يمكن حذف نقاط النهاية الخاصة فقط من مدخل Microsoft Azure من شفرة نظرة عامة أو عن طريق تحديد الخيار إزالة ضمن علامة التبويب اتصالات نقطة النهاية الخاصة للشبكة . سيؤدي تحديد Remove إلى حذف نقطة النهاية الخاصة وNIC المقترنة. إذا قمت بحذف جميع نقاط النهاية الخاصة إلى مورد FHIR والشبكة العامة، يتم تعطيل الوصول ولن يتم إرسال أي طلب إلى خادم FHIR الخاص بك.

حذف نقطة النهاية الخاصة

للتأكد من أن خادم FHIR الخاص بك لا يتلقى نسبة استخدام الشبكة العامة بعد تعطيل الوصول إلى الشبكة العامة، حدد نقطة نهاية /metadata للخادم الخاص بك من الكمبيوتر الخاص بك. يجب أن تتلقى 403 ممنوع.

ملاحظة

قد يستغرق الأمر ما يصل إلى 5 دقائق بعد تحديث علامة الوصول إلى الشبكة العامة قبل حظر نسبة استخدام الشبكة العامة.

إنشاء جهاز ظاهري واستخدامه

للتأكد من أن نقطة النهاية الخاصة بك يمكنها إرسال نسبة استخدام الشبكة إلى الخادم الخاص بك:

  1. إنشاء جهاز ظاهري (VM) متصل بالشبكة الظاهرية والشبكة الفرعية التي تم تكوين نقطة النهاية الخاصة بك عليها. للتأكد من أن نسبة استخدام الشبكة من الجهاز الظاهري تستخدم الشبكة الخاصة فقط، قم بتعطيل حركة مرور الإنترنت الصادرة باستخدام قاعدة مجموعة أمان الشبكة (NSG).
  2. RDP في الجهاز الظاهري.
  3. الوصول إلى نقطة نهاية /بيانات التعريف لخادم FHIR من الجهاز الظاهري. يجب أن تتلقى عبارة القدرة كاستجابة.

استخدام nslookup

يمكنك استخدام أداة nslookup للتحقق من الاتصال. إذا تم تكوين الارتباط الخاص بشكل صحيح، يجب أن ترى عنوان URL لخادم FHIR يتحول إلى عنوان IP الخاص الصالح، كما هو موضح أدناه. لاحظ أن عنوان IP 168.63.129.16 هو عنوان IP عام ظاهري مستخدم في Azure. لمزيد من المعلومات، راجع ما هو عنوان IP 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

إذا لم يتم تكوين الارتباط الخاص بشكل صحيح، فقد ترى عنوان IP العام بدلا من ذلك وبعض الأسماء المستعارة بما في ذلك نقطة نهاية Traffic Manager. يشير هذا إلى أن منطقة DNS للارتباط الخاص لا يمكن حلها إلى عنوان IP الخاص الصالح لخادم FHIR. عند تكوين تناظر VNet، فإن أحد الأسباب المحتملة هو عدم إضافة الشبكة الظاهرية المتناظرة الثانية إلى منطقة DNS للارتباط الخاص. ونتيجة لذلك، سترى خطأ HTTP 403، "تم رفض الوصول إلى xxx"، عند محاولة الوصول إلى نقطة نهاية /metadata لخادم FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

لمزيد من المعلومات، راجع استكشاف مشكلات اتصال Azure Private Link وإصلاحها.

الخطوات التالية

في هذه المقالة، تعلمت كيفية تكوين الارتباط الخاص ونظير VNet. كما تعلمت كيفية استكشاف أخطاء الارتباط الخاص وتكوينات الشبكة الظاهرية وإصلاحها.

استنادا إلى إعداد الارتباط الخاص بك ولمزيد من المعلومات حول تسجيل تطبيقاتك، راجع

FHIR® هي علامة تجارية مسجلة ل HL7 وتستخدم بإذن من HL7.