Freigeben über

Konfigurieren eines privaten Links für Azure Health Data Services

  • Artikel

Mit dem privaten Link können Sie über einen privaten Endpunkt auf Azure Health Data Services zugreifen. Private Verknüpfung ist eine Netzwerkschnittstelle, die Sie privat und sicher über eine private IP-Adresse aus Ihrem virtuellen Netzwerk verbindet. Mit privatem Link können Sie sicher über Ihr virtuelles Netzwerk als Erstanbieterdienst auf unsere Dienste zugreifen, ohne ein öffentliches Do Standard Name System (DNS) durchlaufen zu müssen. In diesem Artikel wird beschrieben, wie Sie Ihren privaten Endpunkt für Azure Health Data Services erstellen, testen und verwalten.

Hinweis

Weder private Verknüpfung noch Azure Health Data Services können aus einer Ressourcengruppe oder einem Abonnement in eine andere verschoben werden, sobald der private Link aktiviert ist. Um eine Verschiebung vorzunehmen, löschen Sie zuerst den privaten Link, und verschieben Sie dann Azure Health Data Services. Erstellen Sie nach Abschluss der Verschiebung einen neuen privaten Link. Bewerten Sie als Nächstes potenzielle Sicherheitsrisiken, bevor Sie den privaten Link löschen.

Wenn Sie Überwachungsprotokolle und Metriken exportieren, die aktiviert sind, aktualisieren Sie die Exporteinstellung über Diagnose-Einstellungen aus dem Portal.

Voraussetzungen

Bevor Sie einen privaten Endpunkt erstellen, müssen zuerst die folgenden Azure-Ressourcen erstellt werden:

  • Ressourcengruppe – Die Azure-Ressourcengruppe, die das virtuelle Netzwerk und den privaten Endpunkt enthält.
  • Arbeitsbereich – Der logische Container für FHIR®- und DICOM-Dienstinstanzen®.
  • Virtuelles Netzwerk – Das virtuelle Netzwerk, mit dem Ihre Clientdienste und der private Endpunkt verbunden sind.

Weitere Informationen finden Sie in der Dokumentation zu privaten Links.

Erstellen eines privaten Endpunkts

Um einen privaten Endpunkt zu erstellen, kann ein Benutzer mit Rollenbasierten Zugriffssteuerungsberechtigungen (Role-based Access Control, RBAC) für den Arbeitsbereich oder die Ressourcengruppe, in der sich der Arbeitsbereich befindet, die Azure-Portal verwenden. Die Verwendung der Azure-Portal wird empfohlen, da die Erstellung und Konfiguration der Privates DNS Zone automatisiert wird. Weitere Informationen finden Sie in den Schnellstarthandbüchern für private Links.

Private Verknüpfung wird auf Arbeitsbereichsebene konfiguriert und automatisch für alle FHIR- und DICOM-Dienste innerhalb des Arbeitsbereichs konfiguriert.

Ein privater Endpunkt kann auf zwei Arten erstellt werden. Der automatische Genehmigungsfluss ermöglicht einem Benutzer, der über RBAC-Berechtigungen für den Arbeitsbereich verfügt, einen privaten Endpunkt zu erstellen, ohne dass eine Genehmigung erforderlich ist. Der manuelle Genehmigungsfluss ermöglicht es einem Benutzer ohne Berechtigungen für den Arbeitsbereich, den Besitzer des Arbeitsbereichs oder der Ressourcengruppe anzufordern, den privaten Endpunkt zu genehmigen.

Hinweis

Wenn ein genehmigter privater Endpunkt für Azure Health Data Services erstellt wird, wird der öffentliche Datenverkehr automatisch deaktiviert.

Automatische Genehmigung

Stellen Sie sicher, dass die Region für den neuen privaten Endpunkt mit der Region für Ihr virtuelles Netzwerk identisch ist. Die Region für den Arbeitsbereich kann unterschiedlich sein.

Screenshot der Abbildung der Registerkarte Azure-Portal

Suchen Sie nach dem Ressourcentyp, und wählen Sie "Microsoft.HealthcareApis/workspaces" aus der Dropdownliste aus. Wählen Sie für die Ressource den Arbeitsbereich in der Ressourcengruppe aus. Die Zielunterressource, healthcareworkspace, wird automatisch ausgefüllt.

Screenshot mit abbildung der Registerkarte Azure-Portal Ressource.

Manuelle Genehmigung

Wählen Sie für die manuelle Genehmigung die zweite Option unter "Ressource" aus, Verbinden zu einer Azure-Ressource nach Ressourcen-ID oder Alias. Geben Sie für die Ressourcen-ID Abonnements/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename} ein. Geben Sie für die Zielunterressource den Gesundheitsaufgabenbereich wie in der automatischen Genehmigung ein.

Bildschirmbild der Registerkarte

Wählen Sie nach Abschluss der Bereitstellung die Ressource für private Verknüpfungen in der Ressourcengruppe aus. Öffnen Sie die DNS-Konfiguration über das Menü "Einstellungen". Sie finden die DNS-Einträge und privaten IP-Adressen für den Arbeitsbereich sowie FHIR- und DICOM-Dienste.

Screenshot der Abbildung der Azure-Portal DNS-Konfiguration.

Navigieren Sie nach Abschluss der Bereitstellung zu der neuen Ressourcengruppe, die als Teil der Bereitstellung erstellt wird. Es sollten zwei private DNS-Zoneneinträge und eine für jeden Dienst angezeigt werden. Wenn Sie über weitere FHIR- und DICOM-Dienste im Arbeitsbereich verfügen, werden weitere DNS-Zoneneinträge für sie erstellt.

Screenshot der Abbildung der FHIR-Zuordnung für private Verknüpfungen.

Wählen Sie virtuelle Netzwerkverbindungen aus dem Einstellungen aus. Beachten Sie, dass der FHIR-Dienst mit dem virtuellen Netzwerk verknüpft ist.

Screenshot der Abbildung des virtuellen Netzwerks

Ebenso können Sie die Zuordnung privater Links für den DICOM-Dienst sehen.

Screenshot der Abbildung der DICOM-Zuordnung für private Verknüpfungen.

Außerdem können Sie sehen, dass der DICOM-Dienst mit dem virtuellen Netzwerk verknüpft ist.

Screenshot der Abbildung des virtuellen Links des virtuellen Netzwerks

Privaten Endpunkt testen

Um zu überprüfen, ob Ihr Dienst nach dem Deaktivieren des öffentlichen Netzwerkzugriffs keinen öffentlichen Datenverkehr empfängt, wählen Sie den /metadata Endpunkt für Ihren FHIR-Dienst oder den /health/check-Endpunkt des DICOM-Diensts aus, und Sie erhalten die Nachricht 403 Verboten.

Es kann bis zu 5 Minuten dauern, bis das Öffentliche Netzwerkzugriffsflagge aktualisiert wurde, bevor der öffentliche Datenverkehr blockiert wird.

Wichtig

Jedes Mal, wenn ein neuer Dienst zum Aktivierten Arbeitsbereich "Privater Link" hinzugefügt wird, warten Sie, bis die Bereitstellung abgeschlossen ist. Aktualisieren Sie den privaten Endpunkt, wenn DNS-A-Einträge für die neu hinzugefügten Dienste im Arbeitsbereich nicht aktualisiert werden. Wenn DNS-A-Einträge in Ihrer privaten DNS-Zone nicht aktualisiert werden, werden Anforderungen an einen neu hinzugefügten Dienst(n) nicht über private Verknüpfungen übertragen.

So stellen Sie sicher, dass Ihr privater Endpunkt Datenverkehr an Ihren Server senden kann:

  1. Erstellen Sie einen virtuellen Computer (VM), der mit dem virtuellen Netzwerk verbunden ist, und subnetz, auf dem Ihr privater Endpunkt konfiguriert ist. Um sicherzustellen, dass Ihr Datenverkehr von der VM nur das private Netzwerk verwendet, deaktivieren Sie den ausgehenden Internetdatenverkehr mithilfe der NSG-Regel (Network Security Group).
  2. Remotedesktopprotokolle (RDP) in der VM.
  3. Greifen Sie vom virtuellen Computer aus auf den Endpunkt des FHIR-Servers zu /metadata . Sie sollten die Funktionsanweisung als Antwort erhalten.

Hinweis

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.

DICOM® ist die eingetragene Marke der National Electrical Manufacturers Association für ihre Veröffentlichungen von Standards über die digitale Kommunikation medizinischer Informationen.