Konfigurace služby Private Link
Private Link umožňuje přístup k rozhraní Azure API for FHIR přes privátní koncový bod, což je síťové rozhraní, které vás privátně a bezpečně připojí pomocí privátní IP adresy z vaší virtuální sítě. S privátním propojením můžete bezpečně přistupovat k našim službám z vaší virtuální sítě jako služba první strany, aniž byste museli procházet veřejným systémem DNS (Domain Name System). Tento článek popisuje, jak vytvořit, otestovat a spravovat privátní koncový bod pro rozhraní Azure API for FHIR.
Poznámka
Private Link ani rozhraní Azure API for FHIR není možné po povolení přesunout z jedné skupiny prostředků nebo předplatného do jiné Private Link. Pokud chcete provést přesun, nejprve odstraňte Private Link a pak přesuňte rozhraní Azure API for FHIR. Po dokončení přesunu vytvořte nový Private Link. Před odstraněním Private Link vyhodnoťte potenciální důsledky zabezpečení.
Pokud je pro azure API for FHIR povolený export protokolů auditu a metrik, aktualizujte nastavení exportu prostřednictvím nastavení diagnostiky na portálu.
Požadavky
Před vytvořením privátního koncového bodu je potřeba nejprve vytvořit některé prostředky Azure:
- Skupina prostředků – skupina prostředků Azure, která bude obsahovat virtuální síť a privátní koncový bod.
- Azure API for FHIR – prostředek FHIR, který chcete umístit za privátní koncový bod.
- Virtual Network – virtuální síť, ke které budou připojené klientské služby a privátní koncový bod.
Další informace najdete v dokumentaci k Private Link.
Vytvoření privátního koncového bodu
K vytvoření privátního koncového bodu může vývojář s oprávněními řízení přístupu na základě role (RBAC) k prostředku FHIR použít Azure Portal, Azure PowerShell nebo Azure CLI. Tento článek vás provede postupem použití Azure Portal. Doporučuje se použít Azure Portal, protože automatizuje vytváření a konfiguraci Privátní DNS zóny. Další informace najdete v úvodních příručkách k Private Link.
Existují dva způsoby, jak vytvořit privátní koncový bod. Tok automatického schválení umožňuje uživateli, který má k prostředku FHIR oprávnění RBAC, vytvořit privátní koncový bod bez nutnosti schválení. Tok ručního schválení umožňuje uživateli bez oprávnění k prostředku FHIR požádat vlastníky prostředku FHIR o schválení privátního koncového bodu.
Poznámka
Když se pro Azure API for FHIR vytvoří schválený privátní koncový bod, veřejný provoz do něj se automaticky zakáže.
Automatické schválení
Ujistěte se, že oblast nového privátního koncového bodu je stejná jako oblast pro vaši virtuální síť. Oblast pro váš prostředek FHIR se může lišit.
Jako typ prostředku vyhledejte a vyberte Microsoft.HealthcareApis/services. Jako prostředek vyberte prostředek FHIR. Jako cílový dílčí zdroj vyberte FHIR.
Pokud ještě nemáte nastavenou zónu Privátní DNS, vyberte (Nová)privatelink.azurehealthcareapis.com. Pokud už máte Privátní DNS Zónu nakonfigurovanou, můžete ji vybrat ze seznamu. Musí být ve formátu privatelink.azurehealthcareapis.com.
Po dokončení nasazení se můžete vrátit na kartu Připojení privátního koncového bodu , u které si jako stav připojení všimnete Schváleno .
Ruční schválení
Pokud chcete ručně schválit, vyberte druhou možnost Připojení k prostředku Azure pomocí ID prostředku nebo aliasu v části Prostředek. Jako Cílový dílčí zdroj zadejte "fhir" jako v části Automatické schválení.
Po dokončení nasazení se můžete vrátit na kartu Připojení privátních koncových bodů, na které můžete připojení schválit, odmítnout nebo odebrat.
VNet Peering
S nakonfigurovaným Private Link můžete přistupovat k serveru FHIR ve stejné virtuální síti nebo v jiné virtuální síti, která je v partnerském vztahu s virtuální sítí pro server FHIR. Postupujte podle následujících kroků a nakonfigurujte partnerský vztah virtuálních sítí a Private Link konfiguraci zóny DNS.
Konfigurace partnerského vztahu virtuálních sítí
Partnerský vztah virtuálních sítí můžete nakonfigurovat z portálu nebo pomocí powershellu, skriptů rozhraní příkazového řádku a šablony Azure Resource Manager (ARM). Druhá virtuální síť může být ve stejném nebo jiném předplatném a ve stejné nebo v různých oblastech. Ujistěte se, že jste udělili roli Přispěvatel sítě . Další informace o partnerském vztahu virtuálních sítí najdete v tématu Vytvoření partnerského vztahu virtuálních sítí.
Přidání propojení virtuální sítě do zóny privátního propojení
V Azure Portal vyberte skupinu prostředků serveru FHIR. Vyberte a otevřete zónu Privátní DNS privatelink.azurehealthcareapis.com. V části Nastavení vyberte Propojení virtuálních sítí. Výběrem tlačítka Přidat přidejte druhou virtuální síť do privátní zóny DNS. Zadejte název odkazu podle svého výběru a vyberte předplatné a virtuální síť, kterou jste vytvořili. Volitelně můžete zadat ID prostředku pro druhou virtuální síť. Vyberte Povolit automatickou registraci, která automaticky přidá záznam DNS pro váš virtuální počítač připojený k druhé virtuální síti. Když odstraníte propojení virtuální sítě, odstraní se také záznam DNS pro virtuální počítač.
Další informace o tom, jak zóna DNS privátního propojení překládá IP adresu privátního koncového bodu na plně kvalifikovaný název domény (FQDN) prostředku, jako je server FHIR, najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
V případě potřeby můžete přidat další propojení virtuální sítě a zobrazit všechna propojení virtuálních sítí, která jste přidali z portálu.
V okně Přehled můžete zobrazit privátní IP adresy serveru FHIR a virtuálních počítačů připojených k partnerským virtuálním sítím.
Správa privátního koncového bodu
Zobrazení
Privátní koncové body a přidružený řadič síťového rozhraní (NIC) jsou viditelné v Azure Portal ze skupiny prostředků, ve které byly vytvořeny.
Odstranit
Privátní koncové body je možné odstranit pouze z Azure Portal v okně Přehled nebo výběrem možnosti Odebrat na kartě Připojení privátního koncového bodu sítě. Výběrem možnosti Odebrat odstraníte privátní koncový bod a přidruženou síťovou kartu. Pokud odstraníte všechny privátní koncové body prostředku FHIR a veřejné sítě, přístup se zakáže a na server FHIR se nebude dostat žádný požadavek.
Testování a řešení potíží s privátním propojením a partnerským vztahem virtuálních sítí
Pokud chcete zajistit, aby váš server FHIR po zakázání veřejného síťového přístupu nepřijímaje veřejný provoz, vyberte na počítači koncový bod /metadata pro váš server. Měl by se zobrazit kód 403 Zakázáno.
Poznámka
Po aktualizaci příznaku přístupu k veřejné síti může trvat až 5 minut, než se veřejný provoz zablokuje.
Vytvoření a použití virtuálního počítače
Pokud chcete zajistit, aby váš privátní koncový bod mohl odesílat provoz na váš server:
- Vytvořte virtuální počítač připojený k virtuální síti a podsíti, na které je nakonfigurovaný privátní koncový bod. Pokud chcete zajistit, aby provoz z virtuálního počítače používal jenom privátní síť, zakažte odchozí internetový provoz pomocí pravidla skupiny zabezpečení sítě (NSG).
- Připojte se k virtuálnímu počítači pomocí protokolu RDP.
- Z virtuálního počítače přejděte ke koncovému bodu /metadata vašeho serveru FHIR. Jako odpověď byste měli obdržet příkaz capability.
Použití nástroje nslookup
K ověření připojení můžete použít nástroj nslookup . Pokud je privátní propojení správně nakonfigurované, měla by se zobrazit adresa URL serveru FHIR, která se překládá na platnou privátní IP adresu, jak je znázorněno níže. Všimněte si, že IP adresa 168.63.129.16 je virtuální veřejná IP adresa používaná v Azure. Další informace najdete v tématu Co je IP adresa 168.63.129.16.
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
Pokud privátní propojení není správně nakonfigurované, může se místo toho zobrazit veřejná IP adresa a několik aliasů, včetně koncového bodu Traffic Manageru. To znamená, že zónu DNS privátního propojení nejde přeložit na platnou privátní IP adresu serveru FHIR. Pokud je nakonfigurovaný partnerský vztah virtuálních sítí, jedním z možných důvodů je, že se druhá partnerská virtuální síť nepřidá do zóny DNS privátního propojení. V důsledku toho se při pokusu o přístup ke koncovému bodu /metadata serveru FHIR zobrazí chyba HTTP 403 Přístup k xxx byl odepřen.
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
Další informace najdete v tématu Řešení potíží s připojením Azure Private Link.
Další kroky
V tomto článku jste se dozvěděli, jak nakonfigurovat privátní propojení a partnerský vztah virtuálních sítí. Dozvěděli jste se také, jak řešit potíže s konfigurací privátního propojení a virtuální sítě.
Na základě nastavení privátního propojení a další informace o registraci aplikací najdete v tématu
- Registrace aplikace prostředků
- Registrace důvěrné klientské aplikace
- Registrace veřejné klientské aplikace
- Registrace aplikace služby
FHIR® je registrovaná ochranná známka hl7 a používá se se svolením HL7.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro