Configurer une liaison privée

La liaison privée vous permet d’accéder à l’API Azure pour FHIR via un point de terminaison privé, qui est une interface réseau qui vous connecte en privé et en toute sécurité à l’aide d’une adresse IP privée à partir de votre réseau virtuel. Avec une liaison privée, vous pouvez accéder à nos services en toute sécurité à partir de votre réseau virtuel en tant que service interne sans avoir à passer par un système de noms de domaine (DNS) public. Cet article explique comment créer, tester et gérer votre point de terminaison privé pour l’API Azure pour FHIR.

Notes

Ni la liaison privée ni l’API Azure pour FHIR ne peuvent être déplacés d’un groupe de ressources ou d’un abonnement à un autre une fois la liaison privée activée. Pour effectuer un déplacement, supprimez d’abord le Private Link, puis déplacez l’API Azure pour FHIR. Créez un Private Link une fois le déplacement terminé. Avant de supprimer une liaison privée, évaluez les ramifications de sécurité potentielles.

Si l’exportation des journaux d’audit et des métriques est activée pour l’API Azure pour FHIR, mettez à jour le paramètre d’exportation via Les paramètres de diagnostic à partir du portail.

Prérequis

Avant de créer un point de terminaison privé, vous devez d’abord créer certaines ressources Azure :

• Groupe de ressources : groupe de ressources Azure qui contiendra le réseau virtuel et le point de terminaison privé.
• API Azure pour FHIR : ressource FHIR que vous souhaitez placer derrière un point de terminaison privé.
• Réseau virtuel : réseau virtuel auquel vos services client et le point de terminaison privé seront connectés.

Pour plus d’informations, consultez Private Link Documentation.

Créer un point de terminaison privé

Pour créer un point de terminaison privé, un développeur disposant d’autorisations de contrôle d’accès en fonction du rôle (RBAC) sur la ressource FHIR peut utiliser le Portail Azure, Azure PowerShell ou Azure CLI. Cet article vous guide tout au long des étapes relatives à l’utilisation de Portail Azure. L’utilisation du Portail Azure est recommandée, car elle automatise la création et la configuration de la zone DNS privé. Pour plus d’informations, consultez Private Link guides de démarrage rapide.

Vous pouvez créer un point de terminaison privé de deux façons. Le flux d’approbation automatique permet à un utilisateur disposant d’autorisations de RBAC sur la ressource FHIR de créer un point de terminaison privé sans avoir besoin d’approbation. Le flux d’approbation manuelle permet à un utilisateur dépourvu d’autorisation sur la ressource FHIR de demander l’approbation d’un point de terminaison privé par les propriétaires de la ressource FHIR.

Notes

Lorsqu’un point de terminaison privé approuvé est créé pour l’API Azure pour FHIR, le trafic public y est automatiquement désactivé.

Approbation automatique

Vérifiez que la région du nouveau point de terminaison privé est la même que celle de votre réseau virtuel. La région de votre ressource FHIR peut être différente.

Pour le type de ressource, recherchez et sélectionnez Microsoft.HealthcareApis/services. Pour la ressource, sélectionnez la ressource FHIR. Pour sous-ressource cible, sélectionnez FHIR.

Si vous n’avez pas configuré de zone DNS privé existante, sélectionnez (Nouveau)privatelink.azurehealthcareapis.com. Si vous disposez d’une zone DNS privé configurée, vous pouvez la sélectionner dans la liste. Il doit être au format de privatelink.azurehealthcareapis.com.

Une fois le déploiement terminé, vous pouvez revenir à l’onglet Connexions de point de terminaison privé , dont vous remarquerez Approuvé comme état de connexion.

Approbation manuelle

Pour une approbation manuelle, sous Ressource, sélectionnez la deuxième option, « Se connecter à une ressource Azure par ID de ressource ou alias ». Pour Sous-ressource cible, entrez « fhir » comme dans Approbation automatique.

Une fois le déploiement terminé, vous pouvez revenir à l’onglet « Connexions de points de terminaison privés », sous lequel vous pouvez approuver, rejeter ou supprimer votre connexion.

VNET Peering

Une fois Private Link configuré, vous pouvez accéder au serveur FHIR dans le même réseau virtuel ou un autre réseau virtuel appairé au réseau virtuel pour le serveur FHIR. Suivez les étapes ci-dessous pour configurer le peering de réseaux virtuels et Private Link configuration de zone DNS.

Configurer VNET Peering

Vous pouvez configurer le peering de réseaux virtuels à partir du portail ou à l’aide de PowerShell, de scripts CLI et de modèle Azure Resource Manager (ARM). Le deuxième réseau virtuel peut se trouver dans les mêmes abonnements ou différents, et dans les mêmes régions ou différentes. Veillez à accorder le rôle Contributeur réseau . Pour plus d’informations sur le peering de réseaux virtuels, consultez Créer un peering de réseaux virtuels.

Ajouter un lien de réseau virtuel à la zone de liaison privée

Dans le Portail Azure, sélectionnez le groupe de ressources du serveur FHIR. Sélectionnez et ouvrez la zone DNS privé, privatelink.azurehealthcareapis.com. Sélectionnez Liens de réseau virtuel sous la section Paramètres . Sélectionnez le bouton Ajouter pour ajouter votre deuxième réseau virtuel à la zone DNS privée. Entrez le nom du lien de votre choix, puis sélectionnez l’abonnement et le réseau virtuel que vous avez créé. Si vous le souhaitez, vous pouvez entrer l’ID de ressource du deuxième réseau virtuel. Sélectionnez Activer l’inscription automatique, qui ajoute automatiquement un enregistrement DNS pour votre machine virtuelle connectée au deuxième réseau virtuel. Lorsque vous supprimez un lien de réseau virtuel, l’enregistrement DNS de la machine virtuelle est également supprimé.

Pour plus d’informations sur la façon dont la zone DNS de liaison privée résout l’adresse IP du point de terminaison privé en nom de domaine complet (FQDN) de la ressource, comme le serveur FHIR, consultez Configuration DNS du point de terminaison privé Azure.

Vous pouvez ajouter d’autres liens de réseau virtuel si nécessaire et afficher tous les liens de réseau virtuel que vous avez ajoutés à partir du portail.

Dans le panneau Vue d’ensemble, vous pouvez afficher les adresses IP privées du serveur FHIR et les machines virtuelles connectées à des réseaux virtuels appairés.

Point de terminaison privé managé

Affichage

Les points de terminaison privés et le contrôleur d’interface réseau associé sont visibles dans Portail Azure à partir du groupe de ressources dans lequel ils ont été créés.

Supprimer

Les points de terminaison privés ne peuvent être supprimés du Portail Azure que dans le panneau Vue d’ensemble ou en sélectionnant l’option Supprimer sous l’onglet Connexions de point de terminaison privé réseau. Si vous sélectionnez Supprimer, vous supprimez le point de terminaison privé et la carte réseau associée. Si vous supprimez tous les points de terminaison privés de la ressource FHIR et du réseau public, l’accès est désactivé et aucune demande ne sera envoyée à votre serveur FHIR.

Tester et résoudre les problèmes de liaison privée et de peering de réseaux virtuels

Pour vous assurer que votre serveur FHIR ne reçoit pas de trafic public après avoir désactivé l’accès au réseau public, sélectionnez le point de terminaison /metadata de votre serveur à partir de votre ordinateur. Le message 403 Interdit devrait d’afficher.

Notes

La mise à jour de l’indicateur d’accès au réseau public peut prendre jusqu’à 5 minutes avant que le trafic public ne soit bloqué.

Créer et utiliser une machine virtuelle

Pour vous assurer que votre point de terminaison privé peut envoyer du trafic à votre serveur :

1. Créez une machine virtuelle connectée au réseau virtuel et au sous-réseau sur lequel votre point de terminaison privé est configuré. Pour vous assurer que votre trafic à partir de la machine virtuelle utilise uniquement le réseau privé, désactivez le trafic Internet sortant à l’aide de la règle de groupe de sécurité réseau (NSG).
2. RDP dans la machine virtuelle.
3. Accédez au point de terminaison /metadata de votre serveur FHIR à partir de la machine virtuelle. Vous devez recevoir l’instruction de capacité en tant que réponse.

Utiliser nslookup

Vous pouvez utiliser l’outil nslookup pour vérifier la connectivité. Si la liaison privée est configurée correctement, l’URL du serveur FHIR doit être résolue en adresse IP privée valide, comme indiqué ci-dessous. Notez que l’adresse IP 168.63.129.16 est une adresse IP publique virtuelle utilisée dans Azure. Pour plus d’informations, consultez Qu’est-ce que l’adresse IP 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Si la liaison privée n’est pas configurée correctement, vous pouvez voir l’adresse IP publique à la place et quelques alias, y compris le point de terminaison Traffic Manager. Cela indique que la zone DNS de liaison privée ne peut pas être résolue en l’adresse IP privée valide du serveur FHIR. Lorsque le peering de réseaux virtuels est configuré, l’une des raisons possibles est que le deuxième réseau virtuel appairé n’a pas été ajouté à la zone DNS de liaison privée. Par conséquent, vous verrez l’erreur HTTP 403, « L’accès à xxx a été refusé », lorsque vous tentez d’accéder au point de terminaison /metadata du serveur FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Pour plus d’informations, consultez Résoudre les problèmes de connectivité Azure Private Link.

Étapes suivantes

Dans cet article, vous avez appris à configurer le lien privé et le peering de réseau virtuel. Vous avez également appris à résoudre les problèmes de liaison privée et de configurations de réseau virtuel.

En fonction de votre configuration de liaison privée et pour plus d’informations sur l’inscription de vos applications, consultez

• Inscrire une application de ressource
• Inscrire une application cliente confidentielle
• Inscrire une application cliente publique
• Inscrire une application de service

FHIR® est une marque déposée de HL7 utilisé avec l’autorisation de HL7.