Freigeben über


Konfigurieren von Massenimporteinstellungen

Der FHIR-Dienst unterstützt $import Vorgang, mit dem Sie Daten aus einem Speicherkonto in den FHIR-Dienst importieren können. Import teilt Eingabedateien in mehrere Datenströme auf, um eine optimale Leistung zu erzielen, und garantiert nicht die Reihenfolge, in der Ressourcen verarbeitet werden. Es werden heute zwei Modi von $import unterstützt:

  • Der anfängliche Modus dient zum Laden von FHIR-Ressourcen in einen leeren FHIR-Server. Der Anfängliche Modus unterstützt nur CREATE-Vorgänge und blockiert, wenn er aktiviert ist, API-Schreibvorgänge auf den FHIR-Server.

  • Der inkrementelle Modus ist so optimiert, dass Daten in regelmäßigen Abständen in den FHIR-Server geladen werden, und Schreibvorgänge über die API werden nicht blockiert. Außerdem können Sie lastUpdated und versionId aus der Ressource Meta laden (sofern in Ressourcen-JSON vorhanden).

In diesem Dokument werden die drei Schritte erläutert, die beim Konfigurieren der Importeinstellungen für den FHIR-Dienst verwendet werden:

  1. Aktivieren Sie die verwaltete Identität für den FHIR-Dienst.
  2. Erstellen Sie ein Azure-Speicherkonto, oder verwenden Sie ein vorhandenes Speicherkonto, und erteilen Sie dem FHIR-Dienst dann Berechtigungen für den Zugriff darauf.
  3. Legen Sie die Importkonfiguration im FHIR-Dienst fest.

Schritt 1: Aktivieren der verwalteten Identität im FHIR-Dienst

Der erste Schritt besteht darin, die systemweite verwaltete Identität für den Dienst zu aktivieren. Dies wird verwendet, um FHIR-Dienstzugriff auf das Speicherkonto zu gewähren. Weitere Informationen zu verwalteten Identitäten in Azure finden Sie unter Informationen zu verwalteten Identitäten für Azure-Ressourcen.

Führen Sie die Schritte zum Aktivieren der verwalteten Identität im FHIR-Dienst aus.

  1. Navigieren Sie im Azure-Portal zu Ihrem FHIR-Dienst.
  2. Wählen Sie das Blatt Identität aus.
  3. Wählen Sie die Option Status auf Ein und dann Speichern aus.
  4. Wählen Sie Ja aus, um die verwaltete Identität für den FHIR-Dienst zu aktivieren.

Nachdem die Systemidentität aktiviert wurde, wird ein vom System zugewiesener GUID-Wert angezeigt.

Aktivieren der verwalteten Identität

Schritt 2: Zuweisen von Berechtigungen zum FHIR-Dienst für den Zugriff auf das Speicherkonto

Führen Sie die folgenden Schritte aus, um Berechtigungen für den Zugriff auf das Speicherkonto zuzuweisen.

  1. Navigieren Sie zum Access Control (IAM) im Speicherkonto.
  2. Wählen Sie Rollenzuweisung hinzufügen aus. Wenn während dieses Schritts die Option Rollenzuweisung hinzufügen abgeblendet ist, müssen Sie Ihren Azure-Administrator bitten, Ihnen die Berechtigung zum Ausführen dieses Schritts zuzuweisen. Weitere Informationen zum Zuweisen von Rollen im Azure-Portal finden Sie unter Integrierte Azure-Rollen.
  3. Fügen Sie dem FHIR-Dienst die Rolle Mitwirkender an Storage-Blobdaten hinzu.
  4. Wählen Sie Speichern aus.

Screenshot der Seite

Jetzt können Sie das Speicherkonto für den Import auswählen.

Schritt 3: Festlegen der Importkonfiguration des FHIR-Diensts

Hinweis

Wenn Sie dem FHIR-Dienst keine Speicherzugriffsberechtigungen zugewiesen haben, schlagen die Importvorgänge ($import) fehl.

Für diesen Schritt müssen Sie die Anforderungs-URL und den JSON-Text abrufen. Befolgen Sie die folgenden Anweisungen.

  1. Navigieren Sie zum Azure-Portal Ihres FHIR-Diensts.
  2. Wählen Sie Übersicht.
  3. Wählen Sie JSON-Ansicht aus.
  4. Wählen Sie die API-Version auf 2022-06-01 oder höher aus.

Um das Azure Storage-Konto in der JSON-Ansicht anzugeben, müssen Sie die REST-API verwenden, um den FHIR-Dienst zu aktualisieren. Screenshot: Abrufen der JSON-Ansicht

Im Folgenden werden die Konfigurationen für den anfänglichen und den inkrementellen Importmodus beschrieben. Wählen Sie den richtigen Importmodus für Ihren Anwendungsfall aus.

Schritt 3a: Festlegen der Importkonfiguration für den Anfänglichen Importmodus.

Führen Sie die folgenden Änderungen an JSON aus:

  1. Legen Sie enabled in importConfiguration auf true fest.
  2. Aktualisieren Sie integrationDataStore mit dem Namen des Zielspeicherkontos.
  3. Legen Sie initialImportMode in importConfiguration auf true fest.
  4. Drop off provisioningState.

Screenshot des Beispiels für den Importkonfigurationscode

Nachdem Sie diesen letzten Schritt abgeschlossen haben, können Sie den Erstmodusimport mithilfe von $import ausführen.

Schritt 3b: Festlegen der Importkonfiguration für den Inkrementellen Importmodus.

Führen Sie die folgenden Änderungen an JSON aus:

  1. Legen Sie enabled in importConfiguration auf true fest.
  2. Aktualisieren Sie integrationDataStore mit dem Namen des Zielspeicherkontos.
  3. Legen Sie initialImportMode in importConfiguration auf false fest.
  4. Drop off provisioningState.

Nachdem Sie diesen letzten Schritt abgeschlossen haben, können Sie den Import im inkrementellen Modus mithilfe von $import ausführen.

Beachten Sie, dass Sie auch die Schaltfläche In Azure bereitstellen verwenden können, um benutzerdefinierte Resource Manager Vorlage zu öffnen, die die Konfiguration für $import aktualisiert.

Schaltfläche

Schützen des FHIR-Diensts $import Vorgangs

Damit Sie FHIR-Daten sicher aus einem ADLS Gen2-Konto in den FHIR-Dienst importieren können, gibt es zwei Optionen:

  • Option 1: Aktivieren des FHIR-Diensts als vertrauenswürdiger Microsoft-Dienst.

  • Option 2: Zulassen, dass bestimmte IP-Adressen, die dem FHIR-Dienst zugeordnet sind, auf das Speicherkonto zugreifen können. Diese Option lässt zwei unterschiedliche Konfigurationen zu, je nachdem, ob sich das Speicherkonto in derselben Azure-Region wie der FHIR-Dienst befindet.

Option 1: Aktivieren des FHIR-Diensts als vertrauenswürdiger Microsoft-Dienst.

Wechseln Sie im Azure-Portal zu Ihrem ADLS Gen2-Konto, und wählen Sie das Blatt Netzwerk aus. Wählen Sie aktiviert aus ausgewählten virtuellen Netzwerken und IP-Adressen auf der Registerkarte Firewalls und virtuelle Netzwerke aus.

Screenshot der Azure Storage-Netzwerkeinstellungen.

Wählen Sie in der Dropdownliste Ressourcentyp die Option Microsoft.HealthcareApis/workspaces aus, und wählen Sie dann Ihren Arbeitsbereich aus der Dropdownliste Instanzname aus.

Aktivieren Sie im Abschnitt Ausnahmen das Kontrollkästchen Azure-Dienste in der Liste der vertrauenswürdigen Dienste den Zugriff auf dieses Speicherkonto erlauben. Stellen Sie sicher, dass Sie auf Speichern klicken, um die Einstellungen beizubehalten.

Screenshot: Zugriff auf dieses Speicherkonto durch vertrauenswürdige Microsoft-Dienste zulassen

Führen Sie als Nächstes den folgenden PowerShell-Befehl aus, um das Az.Storage PowerShell-Modul in Ihrer lokalen Umgebung zu installieren. Dadurch können Sie Ihre Azure-Speicherkonten mithilfe von PowerShell konfigurieren.

Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force 

Verwenden Sie nun den folgenden PowerShell-Befehl, um den ausgewählten FHIR-Dienst instance als vertrauenswürdige Ressource für das Speicherkonto festzulegen. Stellen Sie sicher, dass alle aufgelisteten Parameter in Ihrer PowerShell-Umgebung definiert sind.

Beachten Sie, dass Sie den Add-AzStorageAccountNetworkRule Befehl als Administrator in Ihrer lokalen Umgebung ausführen müssen. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.

$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"

Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId

Nachdem Sie den obigen Befehl ausgeführt haben, wird im Abschnitt Firewall unter Ressourceninstanzen in der Dropdownliste Instanzname die Option 2 ausgewählt. Dies sind die Namen der Arbeitsbereichs-instance und des FHIR-Diensts instance, die Sie als vertrauenswürdige Microsoft-Ressourcen registriert haben.

Screenshot: Azure Storage-Netzwerkeinstellungen mit Ressourcentyp und instance Namen.

Sie können FHIR-Daten jetzt sicher aus dem Speicherkonto importieren. Das Speicherkonto befindet sich in ausgewählten Netzwerken und ist nicht öffentlich zugänglich. Um sicher auf die Dateien zuzugreifen, können Sie private Endpunkte für das Speicherkonto aktivieren.

Option 2:

Zulassen, dass bestimmte IP-Adressen aus anderen Azure-Regionen auf das Azure-Speicherkonto zugreifen können

Navigieren Sie im Azure-Portal zum ADLS Gen2-Konto, und wählen Sie das Blatt Netzwerk aus.

Wählen Sie aktiviert aus ausgewählten virtuellen Netzwerken und IP-Adressen aus. Geben Sie im Abschnitt Firewall die IP-Adresse im Feld Adressbereich an. Fügen Sie IP-Bereiche hinzu, um den Zugriff über das Internet oder Ihre lokalen Netzwerke zu ermöglichen. Die IP-Adresse finden Sie in der folgenden Tabelle für die Azure-Region, in der der FHIR-Dienst bereitgestellt wird.

Azure-Region Öffentliche IP-Adresse
Australien (Osten) 20.53.44.80
Kanada, Mitte 20.48.192.84
USA (Mitte) 52.182.208.31
East US 20.62.128.148
USA (Ost) 2 20.49.102.228
USA, Osten 2 (EUAP) 20.39.26.254
Deutschland, Norden 51.116.51.33
Deutschland, Westen-Mitte 51.116.146.216
Japan, Osten 20.191.160.26
Korea, Mitte 20.41.69.51
USA Nord Mitte 20.49.114.188
Nordeuropa 52.146.131.52
Südafrika, Norden 102.133.220.197
USA Süd Mitte 13.73.254.220
Asien, Südosten 23.98.108.42
Schweiz, Norden 51.107.60.95
UK, Süden 51.104.30.170
UK, Westen 51.137.164.94
USA, Westen-Mitte 52.150.156.44
Europa, Westen 20.61.98.66
USA, Westen 2 40.64.135.77

Zulassen bestimmter IP-Adressen für den Zugriff auf das Azure-Speicherkonto in derselben Region

Der Konfigurationsprozess für IP-Adressen in derselben Region ist genau wie oben, mit der Ausnahme, dass stattdessen ein bestimmter IP-Adressbereich im CIDR-Format (Classless Inter-Domain Routing) verwendet wird (d. h. 100.64.0.0/10). Der Grund, warum der IP-Adressbereich (100.64.0.0 – 100.127.255.255) angegeben werden muss, ist, dass bei jeder Vorgangsanforderung eine IP-Adresse für den FHIR-Dienst zugewiesen wird.

Hinweis

Es ist möglich, dass eine private IP-Adresse im Bereich von 10.0.2.0/24 verwendet werden kann, aber es gibt keine Garantie, dass der Vorgang in einem solchen Fall erfolgreich ist. Sie können es wiederholen, wenn die Vorgangsanforderung fehlschlägt, aber bis eine IP-Adresse im Bereich von 100.64.0.0/10 verwendet wird, ist die Anforderung nicht erfolgreich. Dieses Netzwerkverhalten für IP-Adressbereiche ist standardmäßig vorgesehen. Die Alternative besteht darin, das Speicherkonto in einer anderen Region zu konfigurieren.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie der FHIR-Dienst $import-Vorgang unterstützt und Ihnen das Importieren von Daten in den FHIR-Dienst aus einem Speicherkonto ermöglicht. Sie haben auch die drei Schritte kennengelernt, die beim Konfigurieren von Importeinstellungen im FHIR-Dienst verwendet werden. Weitere Informationen zum Konvertieren von Daten in FHIR, zum Exportieren von Einstellungen zum Einrichten eines Speicherkontos und zum Verschieben von Daten in Azure Synapse finden Sie unter

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.