Teilen über

Konfigurieren von Private Link

  • Artikel

Wichtig

Azure API for FHIR wird am 30. September 2026 eingestellt. Folgen Sie den Migrationsstrategien, um bis zu diesem Datum zum Azure Health Data Services-FHIR®-Dienst zu wechseln. Aufgrund der Einstellung von Azure API for FHIR werden neue Bereitstellungen ab dem 1. April 2025 nicht zugelassen. Der Azure Health Data Services-FHIR-Dienst ist die weiterentwickelte Version der Azure-API für FHIR, mit der Kundschaft FHIR-, DICOM- und Medizintechnikdienste mit Integrationen in andere Azure-Dienste verwalten kann.

Mit einem privaten Link können Sie über einen privaten Endpunkt auf die Azure-API für FHIR® zugreifen. Dabei handelt es sich um eine Netzwerkschnittstelle, die Sie privat und sicher über eine private IP-Adresse aus Ihrem virtuellen Netzwerk verbindet. Mit einem privaten Link können Sie sicher über Ihr virtuelles Netzwerk als Erstanbieter auf unsere Dienste zugreifen, ohne ein öffentliches Domain Name System (DNS) durchlaufen zu müssen. In diesem Artikel wird beschrieben, wie Sie Ihren privaten Endpunkt für die Azure-API für FHIR erstellen, testen und verwalten.

Hinweis

Weder Private Link noch Azure API for FHIR kann nach Aktivierung von Private Link aus einer Ressourcengruppe in eine andere oder einem Abonnement in ein anderes verschoben werden. Um eine Verschiebung vorzunehmen, löschen Sie zuerst den privaten Link, und verschieben Sie dann die Azure-API für FHIR. Erstellen Sie nach Abschluss der Verschiebung einen neuen privaten Link. Bewerten Sie potenzielle Sicherheitskonsequenzen, bevor Sie die Private Link-Instanz löschen.

Wenn das Exportieren von Überwachungsprotokollen und Metriken für die Azure-API für FHIR aktiviert ist, aktualisieren Sie die Exporteinstellung über Diagnoseeinstellungen aus dem Portal.

Voraussetzungen

Bevor Sie einen privaten Endpunkt erstellen, müssen Sie zuerst Azure-Ressourcen erstellen.

  • Ressourcengruppe – Die Azure-Ressourcengruppe, die das virtuelle Netzwerk und den privaten Endpunkt enthält.
  • Azure API for FHIR: Die FHIR-Ressource, die Sie hinter einem privaten Endpunkt platzieren möchten.
  • Virtuelles Netzwerk (VNet) – Das VNet, mit dem Ihre Clientdienste und privaten Endpunkt verbunden sind.

Weitere Informationen finden Sie in der Dokumentation zu privaten Links.

Erstellen eines privaten Endpunkts

Zum Erstellen eines privaten Endpunkts kann ein Entwickler mit rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) für die FHIR-Ressource die Azure-Portal, Azure PowerShell oder Azure CLI verwenden. Dieser Artikel führt Sie durch die Schritte zur Verwendung von Azure-Portal. Azure-Portal wird empfohlen, da die Erstellung und Konfiguration der Privates DNS Zone automatisiert wird. Weitere Informationen finden Sie in den Schnellstarthandbüchern für private Links.

Ein privater Endpunkt kann auf zwei Arten erstellt werden. Mit dem automatischen Genehmigungsflow kann ein Benutzer, der über RBAC-Berechtigungen für die FHIR-Ressource verfügt, einen privaten Endpunkt erstellen, ohne dass eine Genehmigung erforderlich ist. Mit dem manuellen Genehmigungsflow kann ein Benutzer ohne RBAC-Berechtigungen für die FHIR-Ressource die Genehmigung eines privaten Endpunkts bei Besitzern der FHIR-Ressource anfordern.

Hinweis

Wenn ein genehmigter privater Endpunkt für die Azure-API für FHIR erstellt wird, wird der öffentliche Datenverkehr automatisch deaktiviert.

Automatische Genehmigung

Stellen Sie sicher, dass die Region für den neuen privaten Endpunkt mit der Region für Ihr virtuelles Netzwerk identisch ist. Die Region für Ihre FHIR-Ressource kann abweichen.

Registerkarte „Grundlagen“ im Azure-Portal

Suchen Sie nach dem Ressourcentyp, und wählen Sie "Microsoft.HealthcareApis/Services" aus. Wählen Sie für die Ressource die FHIR-Ressource aus. Wählen Sie für die Zielunterressource FHIR aus.

Registerkarte „Ressource“ im Azure-Portal

Wenn Sie keine Privates DNS Zone eingerichtet haben, wählen Sie (Neu)privatelink.azurehealthcareapis.com aus. Wenn Sie Ihre private DNS-Zone bereits konfiguriert haben, können Sie diese in der Liste auswählen. Er muss im Format privatelink.azurehealthcareapis.com sein.

Registerkarte „Konfiguration“ im Azure-Portal

Nachdem die Bereitstellung abgeschlossen ist, können Sie zur Registerkarte "Private Endpunktverbindungen" zurückkehren, deren Status "Genehmigt" angezeigt wird.

Manuelle Genehmigung

Wählen Sie für die manuelle Genehmigung die zweite Option unter „Ressource“ aus: „Stellen Sie über eine Ressourcen-ID oder einen Alias eine Verbindung mit einer Azure-Ressource her“. Geben Sie für die Zielunterressource "fhir" wie in der automatischen Genehmigung ein.

Manuelle Genehmigung

Nachdem die Bereitstellung abgeschlossen wurde, können Sie zur Registerkarte „Private Endpunktverbindungen“ zurückkehren, auf der Sie Ihre Verbindung „Genehmigen“, „Ablehnen“ oder „Entfernen“ können.

Optionen

VNET-Peering

Mit konfiguriertem privatem Link können Sie auf den FHIR-Server im selben VNet oder auf ein anderes VNet zugreifen, das mit dem VNet für den FHIR-Server peered wird. Führen Sie die folgenden Schritte aus, um die Konfiguration von VNet-Peering und der DNS-Zone für private Verknüpfungen zu konfigurieren.

Konfigurieren des VNet-Peerings

Sie können das VNet-Peering über das Portal oder mithilfe von PowerShell-, CLI-Skripts und einer Arm-Vorlage (Azure Resource Manager) konfigurieren. Das zweite VNet kann sich in demselben oder unterschiedlichen Abonnement und in derselben oder verschiedenen Regionen befinden. Stellen Sie sicher, dass Sie der Rolle " Netzwerkmitwirkender" zuweisen. Weitere Informationen zu VNet-Peering finden Sie unter Erstellen eines virtuellen Netzwerk-Peerings.

Wählen Sie im Azure-Portal die Ressourcengruppe des FHIR-Servers aus. Wählen Sie die zone Privates DNS aus, und öffnen Sie sie, privatelink.azurehealthcareapis.com. Wählen Sie unter dem Abschnitt "Einstellungen" die Option "Virtuelle Netzwerkverbindungen" aus. Wählen Sie die Schaltfläche "Hinzufügen " aus, um Ihr zweites VNet zur privaten DNS-Zone hinzuzufügen. Geben Sie den Linknamen Ihrer Wahl ein, wählen Sie das Abonnement und das von Ihnen erstellte VNet aus. Optional können Sie die Ressourcen-ID für das zweite VNet eingeben. Wählen Sie " Automatische Registrierung aktivieren" aus, wodurch automatisch ein DNS-Eintrag für Ihren virtuellen Computer hinzugefügt wird, der mit dem zweiten VNet verbunden ist. Wenn Sie einen VNet-Link löschen, wird der DNS-Eintrag für den virtuellen Computer ebenfalls gelöscht.

Weitere Informationen dazu, wie eine DNS-Zone für private Verknüpfungen die IP-Adresse des privaten Endpunkts in den vollqualifizierten Domänennamen (FQDN) der Ressource aufgelöst, z. B. den FHIR-Server, finden Sie unter Azure Private Endpoint DNS-Konfiguration.

Fügen Sie einen VNet-Link hinzu.

Sie können bei Bedarf weitere VNet-Links hinzufügen und alle VNet-Links anzeigen, die Sie aus dem Portal hinzugefügt haben.

VNet-Links für private Links.

Auf dem Blatt "Übersicht" können Sie die privaten IP-Adressen des FHIR-Servers und die virtuellen Computer anzeigen, die mit virtuellen Peers verbunden sind.

Private Link FHIR- und VM Private IP-Adressen.

Verwalten eines privaten Endpunkts

Ansicht

Private Endpunkte und der zugeordnete Netzwerkschnittstellencontroller (NIC) sind in Azure-Portal aus der Ressourcengruppe sichtbar, in der sie erstellt wurden.

„Ansicht“ in „Ressourcen“

Löschen

Private Endpunkte können nur aus dem Azure-Portal aus dem Blatt "Übersicht" oder durch Auswählen der Option "Entfernen" auf der Registerkarte "Private Netzwerkendpunkte" gelöscht werden. Wenn Sie "Entfernen" auswählen, werden der private Endpunkt und die zugehörige NIC gelöscht. Wenn Sie alle privaten Endpunkte für die FHIR-Ressource und das öffentliche Netzwerk löschen, ist der Zugriff deaktiviert, und es wird keine Anforderung an Ihren FHIR-Server gesendet.

Löschen eines privaten Endpunkts

Um sicherzustellen, dass Ihr FHIR-Server nach dem Deaktivieren des öffentlichen Netzwerkzugriffs keinen öffentlichen Datenverkehr empfängt, wählen Sie den /metadata-Endpunkt für Ihren Server von Ihrem Computer aus. Sie sollten einen Fehler „403 Verboten“ erhalten.

Hinweis

Es kann bis zu 5 Minuten dauern, bis das Öffentliche Netzwerkzugriffsflagge aktualisiert wurde, bevor der öffentliche Datenverkehr blockiert wird.

Erstellen und Verwenden eines virtuellen Computers

So stellen Sie sicher, dass Ihr privater Endpunkt Datenverkehr an Ihren Server senden kann:

  1. Erstellen Sie einen virtuellen Computer (VM), der mit dem virtuellen Netzwerk verbunden ist, und das Subnetz, auf dem Ihr privater Endpunkt konfiguriert ist. Um sicherzustellen, dass Ihr Datenverkehr von der VM nur das private Netzwerk verwendet, deaktivieren Sie den ausgehenden Internetdatenverkehr mithilfe der NSG-Regel (Network Security Group).
  2. Greifen Sie per RDP auf die VM zu.
  3. Greifen Sie über den virtuellen Computer auf den /metadata-Endpunkt Ihres FHIR-Servers zu. Sie sollten die Funktionsanweisung als Antwort erhalten.

Verwenden von "nslookup"

Sie können das nslookup-Tool verwenden, um die Konnektivität zu überprüfen. Wenn der private Link ordnungsgemäß konfiguriert ist, sollte die FHIR-Server-URL wie folgt in die gültige private IP-Adresse aufgelöst werden. Beachten Sie, dass die IP-Adresse 168.63.129.16 eine virtuelle öffentliche IP-Adresse ist, die in Azure verwendet wird. Unter Was ist die IP-Adresse 168.63.129.16? finden Sie weitere Informationen dazu.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Wenn der private Link nicht ordnungsgemäß konfiguriert ist, werden möglicherweise stattdessen die öffentliche IP-Adresse und einige Aliase einschließlich des Traffic Manager-Endpunkts angezeigt. Dies gibt an, dass die DNS-Zone für private Verknüpfungen nicht in die gültige private IP-Adresse des FHIR-Servers aufgelöst werden kann. Wenn VNet-Peering konfiguriert ist, ist ein möglicher Grund dafür, dass das zweite peered VNet der DNS-Zone für private Verknüpfungen nicht hinzugefügt wurde. Daher wird der HTTP-Fehler 403 "Zugriff auf xxx verweigert" angezeigt, wenn Sie versuchen, auf den /metadata-Endpunkt des FHIR-Servers zuzugreifen.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Weitere Informationen finden Sie unter Problembehandlung bei Problemen mit der Verbindung mit azure privatem Link.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie den privaten Link und das VNet-Peering konfigurieren. Außerdem haben Sie erfahren, wie Sie Probleme mit privaten Link- und VNet-Konfigurationen beheben können.

Basierend auf Ihrem privaten Linksetup und weitere Informationen zum Registrieren Ihrer Anwendungen finden Sie in den folgenden Artikeln.

Hinweis

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.