Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Private Link umožňuje přístup ke službě Azure Health Data Services přes privátní koncový bod. Private Link je síťové rozhraní, které vás soukromě a bezpečně připojuje pomocí privátní IP adresy z vaší virtuální sítě. Pomocí služby Private Link můžete bezpečně přistupovat k našim službám z vaší virtuální sítě jako služby první strany, aniž byste museli projít veřejným systémem DNS (Domain Name System). Tento článek popisuje, jak vytvořit, otestovat a spravovat privátní koncový bod pro službu Azure Health Data Services.
Poznámka:
Jakmile je služba Private Link povolená, není možné službu Private Link ani službu Azure Health Data Services přesunout z jedné skupiny prostředků nebo předplatného do jiného. Pokud chcete provést přesun, nejprve odstraňte službu Private Link a pak přesuňte službu Azure Health Data Services. Po dokončení přesunu vytvořte novou službu Private Link. Dále před odstraněním služby Private Link vyhodnoťte potenciální důsledky zabezpečení.
Pokud exportujete protokoly auditu a metriky, které jsou povolené, aktualizujte nastavení exportu prostřednictvím nastavení diagnostiky z portálu.
Požadavky
Před vytvořením privátního koncového bodu je potřeba nejprve vytvořit následující prostředky Azure:
- Skupina prostředků – skupina prostředků Azure, která obsahuje virtuální síť a privátní koncový bod.
- Pracovní prostor – logický kontejner pro instance služeb FHIR® a DICOM®.
- Virtuální síť – virtuální síť , ke které jsou připojené vaše klientské služby a privátní koncový bod.
Další informace najdete v dokumentaci ke službě Private Link.
Vytvoření privátního koncového bodu
Pokud chcete vytvořit privátní koncový bod, může uživatel s oprávněními řízení přístupu na základě role (RBAC) v pracovním prostoru nebo skupině prostředků, ve které se pracovní prostor nachází, použít Azure Portal. Použití webu Azure Portal se doporučuje, protože automatizuje vytváření a konfiguraci Privátní DNS zóny. Další informace najdete v úvodních příručkách služby Private Link.
Private Link se konfiguruje na úrovni pracovního prostoru a automaticky se nakonfiguruje pro všechny služby FHIR a DICOM v rámci pracovního prostoru.
Existují dva způsoby vytvoření privátního koncového bodu. Tok automatického schvalování umožňuje uživateli, který má v pracovním prostoru oprávnění RBAC, vytvořit privátní koncový bod bez nutnosti schválení. Tok ručního schválení umožňuje uživateli bez oprávnění k pracovnímu prostoru požádat vlastníky pracovního prostoru nebo skupiny prostředků o schválení privátního koncového bodu.
Poznámka:
Po vytvoření schváleného privátního koncového bodu pro službu Azure Health Data Services se veřejný provoz automaticky zakáže.
Automatické schválení
Ujistěte se, že je oblast pro nový privátní koncový bod stejná jako oblast pro vaši virtuální síť. Oblast pracovního prostoru se může lišit.
Pro typ prostředku vyhledejte a v rozevíracím seznamu vyberte Microsoft.HealthcareApis/workspaces . Pro prostředek vyberte pracovní prostor ve skupině prostředků. Cílový podsourc, pracovní prostor zdravotní péče se vyplní automaticky.
Ruční schválení
Pro ruční schválení vyberte druhou možnost v části Prostředek, Připojte se k prostředku Azure pomocí ID prostředku nebo aliasu. Jako ID prostředku zadejte předplatná/{subscriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. Jako dílčí zdroj cíle zadejte pracovní prostor zdravotní péče jako v části Automatické schválení.
Konfigurace DNS služby Private Link
Po dokončení nasazení vyberte prostředek Private Link ve skupině prostředků. V nabídce nastavení otevřete konfiguraci DNS. Záznamy DNS a privátní IP adresy pro pracovní prostor najdete a služby FHIR a DICOM.
Mapování služby Private Link
Po dokončení nasazení přejděte do nové skupiny prostředků, která se vytvoří jako součást nasazení. Měli byste vidět dva záznamy privátní zóny DNS a jeden pro každou službu. Pokud máte v pracovním prostoru více služeb FHIR a DICOM, vytvoří se pro ně více záznamů zóny DNS.
V nastavení vyberte propojenívirtuální sítě. Všimněte si, že služba FHIR je propojená s virtuální sítí. Ujistěte se, že k zóně DNS je přidružená jenom jedna virtuální síť. Pokud potřebujete podporovat více virtuálních sítí, musíte vytvořit samostatné zóny DNS v různých skupinách prostředků. Během instalace ověřte, že privátní koncový bod a zóna privátního DNS nejsou sdíleny mezi několika virtuálními sítěmi, protože se jedná o běžnou chybnou konfiguraci, která může vést k problémům s řešením IP adres a selháním přístupu, které vedou k chybám HTTP 403 ve službě.
Podobně můžete zobrazit mapování privátního propojení pro službu DICOM.
Můžete také vidět, že služba DICOM je propojená s virtuální sítí.
Testování privátního koncového bodu
Pokud chcete ověřit, že vaše služba nepřijímá veřejný provoz po zakázání přístupu k veřejné síti, vyberte /metadata koncový bod služby FHIR nebo koncový bod /health/check služby DICOM a zobrazí se zpráva 403 Zakázáno.
Po aktualizaci příznaku přístupu k veřejné síti může trvat až 5 minut, než se zablokuje veřejný provoz.
Důležité
Pokaždé, když se nová služba přidá do pracovního prostoru s povolenou službou Private Link, počkejte na dokončení zřizování. Aktualizujte privátní koncový bod, pokud se neaktualizují záznamy DNS A pro nově přidané služby v pracovním prostoru. Pokud se záznamy DNS A ve vaší privátní zóně DNS neaktualizují, požadavky na nově přidané služby nepřejdou přes Private Link.
Pokud chcete zajistit, aby váš privátní koncový bod mohl odesílat provoz na váš server:
- Vytvořte virtuální počítač, který je připojený k virtuální síti a podsíti, na které je nakonfigurovaný privátní koncový bod. Pokud chcete zajistit, aby provoz z virtuálního počítače používal pouze privátní síť, zakažte odchozí internetový provoz pomocí pravidla skupiny zabezpečení sítě (NSG).
- Protokoly vzdálené plochy (RDP) do virtuálního počítače.
- Z virtuálního počítače se dostanete ke koncovému bodu vašeho serveru
/metadataFHIR. Jako odpověď byste měli obdržet příkaz schopností.
časté otázky
1. Služba FHIR nakonfigurovaná s privátními koncovými body chybí v záznamech DNS privátního propojení, co mám dělat?
Služby FHIR nakonfigurované s privátním koncovým bodem, u kterého chybí položky DNS privátního propojení, se přeloží přes veřejnou cestu CNAME místo překladu na privátní IP adresu prostřednictvím *.private link.fhir.azurehealthcareapis.com. Jedná se o známý problém se službou FHIR, ke které může občas dojít během zřizování a může zabránit správné konfiguraci položek DNS privátního propojení. Kvůli tomuto problému můžou být služby nedostupné z virtuální sítě, což může způsobit selhání připojení aplikací, které spoléhají na přístup k privátní síti.
Pokud chcete tento problém zmírnit, odeberte a přečtěte si připojení privátního koncového bodu k pracovnímu prostoru Azure Health Data Services (AHDS). Tato akce aktivuje nový cyklus zřizování, který správně nakonfiguruje položky DNS privátního propojení.
Při řešení potíží použijte následující postup:
- Na webu Azure Portal přejděte do pracovního prostoru AHDS.
- Vyberte síťové → připojení privátního koncového bodu.
- Odeberte existující privátní koncový bod.
- Znovu vytvořte privátní koncový bod pomocí stejné konfigurace.
- Ověřte, že překlad DNS vrací privátní IP adresu.
2. V protokolech nejsou požadavky selhávající s HTTP 403 příčinou chybných tokenů, ale místo toho jsou odmítnuty službou Private Links, protože jejich původ nemá povolený přístup ke službě FHIR.
Ověřte následující body:
Zkontrolujte, jestli je původ požadavku těchto požadavků součástí stejné virtuální sítě, ve které je služba FHIR.
Zkontrolujte, jestli se privátní koncový bod nebo zóna privátního DNS sdílí s více virtuálními sítěmi najednou. Jedná se o známou chybnou konfiguraci, která může způsobit turbulence v překladu IP adres a způsobit odmítnutí požadavků.