Sdílet prostřednictvím

Konfigurace privátního propojení

  • Článek

Důležité

Rozhraní Azure API for FHIR bude vyřazeno 30. září 2026. Postupujte podle strategií migrace a do tohoto data přejděte na službu FHIR® služby Azure Health Data Services. Vzhledem k vyřazení rozhraní Azure API for FHIR nebudou nová nasazení od 1. dubna 2025 povolena. Služba FHIR služby Azure Health Data Services je vyvinutá verze rozhraní Azure API for FHIR, která zákazníkům umožňuje spravovat služby FHIR, DICOM a MedTech s integrací do jiných služeb Azure.

Private Link umožňuje přístup k rozhraní Azure API for FHIR® přes privátní koncový bod, což je síťové rozhraní, které vás soukromě a bezpečně připojuje pomocí privátní IP adresy z vaší virtuální sítě. Pomocí privátního propojení můžete bezpečně přistupovat k našim službám z vaší virtuální sítě jako služby první strany, aniž byste museli projít veřejným systémem DNS (Domain Name System). Tento článek popisuje, jak vytvořit, otestovat a spravovat privátní koncový bod pro rozhraní Azure API for FHIR.

Poznámka:

Private Link ani Azure API for FHIR nejde přesunout z jedné skupiny prostředků nebo předplatného do jiného, jakmile je služba Private Link povolená. Pokud chcete provést přesun, nejprve odstraňte Private Link a pak přesuňte rozhraní Azure API for FHIR. Po dokončení přesunu vytvořte novou službu Private Link. Před odstraněním služby Private Link vyhodnoťte potenciální důsledky zabezpečení.

Pokud je pro rozhraní Azure API for FHIR povolen export protokolů auditu a metrik, aktualizujte nastavení exportu prostřednictvím nastavení diagnostiky na portálu.

Požadavky

Před vytvořením privátního koncového bodu musíte nejprve vytvořit prostředky Azure.

  • Skupina prostředků – skupina prostředků Azure, která obsahuje virtuální síť a privátní koncový bod.
  • Azure API for FHIR – prostředek FHIR, který chcete umístit za privátní koncový bod.
  • Virtual Network (VNet) – virtuální síť, ke které budou připojené vaše klientské služby a privátní koncový bod.

Další informace najdete v dokumentaci ke službě Private Link.

Vytvoření privátního koncového bodu

K vytvoření privátního koncového bodu může vývojář s oprávněními řízení přístupu na základě role (RBAC) prostředku FHIR použít Azure Portal, Azure PowerShell nebo Azure CLI. Tento článek vás provede postupem použití webu Azure Portal. Azure Portal se doporučuje, protože automatizuje vytváření a konfiguraci zóny Privátní DNS. Další informace najdete v úvodních příručkách služby Private Link.

Existují dva způsoby vytvoření privátního koncového bodu. Tok automatického schvalování umožňuje uživateli, který má oprávnění RBAC k prostředku FHIR, vytvořit privátní koncový bod bez nutnosti schválení. Tok ručního schválení umožňuje uživateli bez oprávnění k prostředku FHIR požádat o schválení privátního koncového bodu vlastníky prostředku FHIR.

Poznámka:

Když se pro rozhraní Azure API for FHIR vytvoří schválený privátní koncový bod, veřejný provoz do něj se automaticky zakáže.

Automatické schválení

Ujistěte se, že je oblast pro nový privátní koncový bod stejná jako oblast pro vaši virtuální síť. Oblast vašeho prostředku FHIR se může lišit.

Karta Základy webu Azure Portal

Jako typ prostředku vyhledejte a vyberte Microsoft.HealthcareApis/services. Pro prostředek vyberte prostředek FHIR. Jako cílový podsourc vyberte FHIR.

Karta Prostředek na webu Azure Portal

Pokud ještě nemáte nastavenou zónu Privátní DNS, vyberte privatelink.azurehealthcareapis.com (Nový). Pokud už máte Privátní DNS Zónu nakonfigurovanou, můžete ji vybrat ze seznamu. Musí být ve formátu privatelink.azurehealthcareapis.com.

Karta Konfigurace webu Azure Portal

Po dokončení nasazení se můžete vrátit na kartu Připojení privátního koncového bodu, u které si všimnete stavu připojení Schváleno .

Ruční schválení

Pokud chcete ruční schválení, vyberte druhou možnost v části Prostředek a připojte se k prostředku Azure pomocí ID prostředku nebo aliasu. Jako dílčí zdroj cíle zadejte "fhir" jako v automatickém schvalování.

Ruční schválení

Po dokončení nasazení se můžete vrátit na kartu Připojení privátního koncového bodu, na které můžete připojení schválit, odmítnout nebo odebrat.

Možnosti

Partnerské vztahy virtuálních sítí

S nakonfigurovanou službou Private Link můžete přistupovat k serveru FHIR ve stejné virtuální síti nebo jiné virtuální síti, která je v partnerském vztahu k virtuální síti pro server FHIR. Ke konfiguraci partnerského vztahu virtuálních sítí a konfigurace zóny DNS služby Private Link použijte následující postup.

Konfigurace partnerského vztahu virtuálních sítí

Partnerský vztah virtuálních sítí můžete nakonfigurovat z portálu nebo pomocí PowerShellu, skriptů rozhraní příkazového řádku a šablony Azure Resource Manageru (ARM). Druhá virtuální síť může být ve stejném nebo jiném předplatném a ve stejných nebo různých oblastech. Ujistěte se, že udělíte roli Přispěvatel sítě. Další informace o partnerském vztahu virtuálních sítí najdete v tématu Vytvoření partnerského vztahu virtuálních sítí.

Na webu Azure Portal vyberte skupinu prostředků serveru FHIR. Vyberte a otevřete zónu Privátní DNS privatelink.azurehealthcareapis.com. V části Nastavení vyberte propojení virtuální sítě. Výběrem tlačítka Přidat přidejte druhou virtuální síť do privátní zóny DNS. Zadejte název odkazu podle svého výběru, vyberte předplatné a virtuální síť, kterou jste vytvořili. Volitelně můžete zadat ID prostředku pro druhou virtuální síť. Vyberte Povolit automatickou registraci, která automaticky přidá záznam DNS pro váš virtuální počítač připojený k druhé virtuální síti. Když odstraníte propojení virtuální sítě, odstraní se také záznam DNS virtuálního počítače.

Další informace o tom, jak zóna DNS privátního propojení přeloží IP adresu privátního koncového bodu na plně kvalifikovaný název domény (FQDN) prostředku, jako je server FHIR, najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Přidání odkazu na virtuální síť

V případě potřeby můžete přidat další odkazy virtuální sítě a zobrazit všechny odkazy virtuální sítě, které jste přidali na portálu.

Propojení virtuální sítě Private Link

V okně Přehled můžete zobrazit privátní IP adresy serveru FHIR a virtuální počítače připojené k partnerským virtuálním sítím.

Private Link FHIR a privátní IP adresy virtuálních počítačů.

Správa privátního koncového bodu

Zobrazení

Privátní koncové body a přidružený síťový adaptér (NIC) jsou viditelné na webu Azure Portal ze skupiny prostředků, ve které byly vytvořeny.

Zobrazení v prostředcích

Odstranění

Privátní koncové body je možné odstranit jenom z webu Azure Portal z okna Přehled nebo výběrem možnosti Odebrat na kartě Připojení privátního koncového bodu sítě. Výběrem možnosti Odebrat odstraníte privátní koncový bod a přidruženou síťovou kartu. Pokud odstraníte všechny privátní koncové body pro prostředek FHIR a veřejnou síť, přístup je zakázaný a na váš server FHIR se nezobrazí žádná žádost.

Odstranění privátního koncového bodu

Pokud chcete zajistit, aby váš server FHIR po zakázání přístupu k veřejné síti nedostává veřejný provoz, vyberte koncový bod /metadata pro váš server z počítače. Měla by se zobrazit hodnota 403 Zakázáno.

Poznámka:

Po aktualizaci příznaku přístupu k veřejné síti může trvat až 5 minut, než se zablokuje veřejný provoz.

Vytvoření a použití virtuálního počítače

Pokud chcete zajistit, aby váš privátní koncový bod mohl odesílat provoz na váš server:

  1. Vytvořte virtuální počítač připojený k virtuální síti a podsíti, na které je nakonfigurovaný privátní koncový bod. Pokud chcete zajistit, aby provoz z virtuálního počítače používal pouze privátní síť, zakažte odchozí internetový provoz pomocí pravidla skupiny zabezpečení sítě (NSG).
  2. RDP do virtuálního počítače.
  3. Z virtuálního počítače přejděte ke koncovému bodu /metadata vašeho serveru FHIR. Jako odpověď byste měli obdržet příkaz schopností.

Použití nástroje nslookup

K ověření připojení můžete použít nástroj nslookup . Pokud je privátní propojení správně nakonfigurované, měli byste vidět, že adresa URL serveru FHIR se přeloží na platnou privátní IP adresu, jak je znázorněno níže. Všimněte si, že IP adresa 168.63.129.16 je virtuální veřejná IP adresa použitá v Azure. Další informace naleznete v tématu Co je IP adresa 168.63.129.16.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Pokud privátní propojení není správně nakonfigurované, může se místo toho zobrazit veřejná IP adresa a několik aliasů včetně koncového bodu Traffic Manageru. To znamená, že zóna DNS privátního propojení se nemůže přeložit na platnou privátní IP adresu serveru FHIR. Při konfiguraci partnerského vztahu virtuálních sítí je jedním z možných důvodů, že druhá partnerská virtuální síť nebyla přidána do zóny DNS privátního propojení. V důsledku toho se při pokusu o přístup ke koncovému bodu /metadata serveru FHIR zobrazí chyba HTTP 403, přístup k xxx byl odepřen.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Další informace najdete v tématu Řešení potíží s připojením ke službě Azure Private Link.

Další kroky

V tomto článku jste zjistili, jak nakonfigurovat privátní propojení a partnerský vztah virtuálních sítí. Dozvěděli jste se také, jak řešit potíže s konfigurací privátního propojení a virtuální sítě.

Na základě nastavení privátního propojení a další informace o registraci aplikací najdete v následujícím článku.

Poznámka:

FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.