Configurer Private Link pour Azure Health Data Services

Private Link vous permet d’accéder à Azure Health Data Services via un point de terminaison privé. Private Link est une interface réseau qui vous connecte en privé et en toute sécurité à l’aide d’une adresse IP privée à partir de votre réseau virtuel. Avec Private Link, vous pouvez accéder à nos services en toute sécurité à partir de votre réseau virtuel en tant que service de première partie sans avoir à passer par un système DNS (Domain Name System). Cet article explique comment créer, tester et gérer votre point de terminaison privé pour Azure Health Data Services.

Remarque

Ni Private Link ni Azure Health Data Services ne peuvent être déplacés d’un groupe de ressources ou d’un abonnement à une autre une fois Private Link activé. Pour effectuer un déplacement, supprimez d’abord la liaison privée, puis déplacez Azure Health Data Services. Créez une liaison privée une fois le déplacement terminé. Ensuite, évaluez les ramifications de sécurité potentielles avant de supprimer la liaison privée.

Si vous exportez des journaux d’audit et des métriques activés, mettez à jour le paramètre d’exportation via les paramètres de diagnostic à partir du portail.

Prérequis

Avant de créer un point de terminaison privé, les ressources Azure suivantes doivent d’abord être créées :

• Groupe de ressources : groupe de ressources Azure qui contient le réseau virtuel et le point de terminaison privé.
• Espace de travail : conteneur logique pour les instances de service FHIR® et DICOM®.
• Réseau virtuel : réseau virtuel auquel vos services clients et point de terminaison privé sont connectés.

Pour plus d’informations, consultez la documentation Private Link.

Créer un point de terminaison privé

Pour créer un point de terminaison privé, un utilisateur disposant d’autorisations de contrôle d’accès en fonction du rôle (RBAC) sur l’espace de travail ou le groupe de ressources où se trouve l’espace de travail peut utiliser le Portail Azure. L’utilisation du Portail Azure est recommandée, car elle automatise la création et la configuration de la zone DNS privé. Pour plus d’informations, consultez les guides de démarrage rapide Private Link.

La liaison privée est configurée au niveau de l’espace de travail et est automatiquement configurée pour tous les services FHIR et DICOM au sein de l’espace de travail.

Vous pouvez créer un point de terminaison privé de deux façons. Le flux d’approbation automatique permet à un utilisateur disposant d’autorisations RBAC sur l’espace de travail de créer un point de terminaison privé sans avoir besoin d’approbation. Le flux d’approbation manuelle permet à un utilisateur sans autorisation sur l’espace de travail de demander aux propriétaires de l’espace de travail ou du groupe de ressources d’approuver le point de terminaison privé.

Remarque

Lorsqu’un point de terminaison privé approuvé est créé pour Azure Health Data Services, le trafic public vers celui-ci est automatiquement désactivé.

Approbation automatique

Vérifiez que la région du nouveau point de terminaison privé est la même que la région de votre réseau virtuel. La région de l’espace de travail peut être différente.

Pour le type de ressource, recherchez et sélectionnez Microsoft.HealthcareApis/workspaces dans la liste déroulante. Pour la ressource, sélectionnez l’espace de travail dans le groupe de ressources. La sous-ressource cible, espace de travail de santé, est automatiquement renseignée.

Approbation manuelle

Pour une approbation manuelle, sélectionnez la deuxième option sous Ressource, Connectez-vous à une ressource Azure par ID de ressource ou alias. Pour l’ID de ressource, entrez des abonnements/{subscriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. Pour la sous-ressource Cible, entrez l’espace de travail de santé comme dans Approbation automatique.

Configuration DNS Private Link

Une fois le déploiement terminé, sélectionnez la ressource Private Link dans le groupe de ressources. Ouvrez la configuration DNS à partir du menu paramètres. Vous trouverez les enregistrements DNS et les adresses IP privées pour l’espace de travail, ainsi que les services FHIR et DICOM.

Mappage de liaison privée

Une fois le déploiement terminé, accédez au nouveau groupe de ressources créé dans le cadre du déploiement. Vous devez voir deux enregistrements de zone DNS privés et un pour chaque service. Si vous avez plus de services FHIR et DICOM dans l’espace de travail, d’autres enregistrements de zone DNS sont créés pour eux.

Sélectionnez les liens de réseau virtuel dans les paramètres. Notez que le service FHIR est lié au réseau virtuel. Vérifiez qu’un seul réseau virtuel est associé à la zone DNS. Si vous devez prendre en charge plusieurs réseaux virtuels, vous devez créer des zones DNS distinctes dans différents groupes de ressources. Pendant la configuration, vérifiez que le point de terminaison privé et la zone DNS privée ne sont pas partagés entre plusieurs réseaux virtuels, car il s’agit d’une configuration incorrecte courante qui peut entraîner des problèmes de résolution IP et des échecs d’accès entraînant des erreurs HTTP 403 sur le service.

De même, vous pouvez voir le mappage de liaison privée pour le service DICOM.

En outre, vous pouvez voir que le service DICOM est lié au réseau virtuel.

Tester un point de terminaison privé

Pour vérifier que votre service ne reçoit pas de trafic public après avoir désactivé l’accès au réseau public, sélectionnez le /metadata point de terminaison de votre service FHIR, ou le point de terminaison /health/check du service DICOM, et vous recevrez le message 403 Interdit.

La mise à jour de l’indicateur d’accès réseau public peut prendre jusqu’à 5 minutes avant le blocage du trafic public.

Important

Chaque fois qu’un nouveau service est ajouté à l’espace de travail Private Link activé, attendez la fin de l’approvisionnement. Actualisez le point de terminaison privé si les enregistrements DNS A ne sont pas mis à jour pour les services nouvellement ajoutés dans l’espace de travail. Si les enregistrements DNS A ne sont pas mis à jour dans votre zone DNS privée, les demandes adressées à des services nouvellement ajoutés ne passent pas par Private Link.

Pour vous assurer que votre point de terminaison privé peut envoyer le trafic à votre serveur :

1. Créez une machine virtuelle connectée au réseau virtuel et au sous-réseau sur lequel votre point de terminaison privé est configuré. Pour vous assurer que votre trafic à partir de la machine virtuelle utilise uniquement le réseau privé, désactivez le trafic Internet sortant à l’aide de la règle de groupe de sécurité réseau (NSG).
2. Protocoles Bureau à distance (RDP) dans la machine virtuelle.
3. Accédez au point de terminaison de /metadata votre serveur FHIR à partir de la machine virtuelle. Vous devez recevoir l’instruction de fonctionnalité en tant que réponse.

Questions fréquentes (FAQ)

1. Le service FHIR configuré avec des points de terminaison privés manque leurs entrées DNS de liaison privée, que dois-je faire ?

Les services FHIR configurés avec un point de terminaison privé qui ne disposent pas d’entrées DNS de liaison privée sont résolus via le chemin CNAME public au lieu de résoudre l’adresse IP privée via *.private link.fhir.azurehealthcareapis.com. Il s’agit d’un problème connu avec le service FHIR qui peut se produire par intermittence pendant l’approvisionnement et peut empêcher la configuration correcte des entrées DNS de liaison privée. En raison de ce problème, les services peuvent être inaccessibles à partir du réseau virtuel (VNet), ce qui peut entraîner des défaillances de connectivité pour les applications qui s’appuient sur l’accès au réseau privé.

Pour atténuer ce problème, supprimez et lisez la connexion de point de terminaison privé à l’espace de travail Azure Health Data Services (AHDS). Cette action déclenche un nouveau cycle d’approvisionnement qui configure correctement les entrées DNS de liaison privée.

Pour résoudre le problème, effectuez les étapes ci-dessous :

1. Accédez à l’espace de travail AHDS dans le portail Azure.
2. Sélectionnez Mise en réseau → connexions de point de terminaison privé.
3. Supprimez le point de terminaison privé existant.
4. Recréez le point de terminaison privé à l’aide de la même configuration.
5. Vérifiez que la résolution DNS retourne l’adresse IP privée.

2. À partir des journaux d’activité, les requêtes ayant échoué avec HTTP 403 ne sont pas dues à des jetons incorrects, mais elles sont rejetées par des liaisons privées, car leur origine n’est pas autorisée à accéder au service FHIR.

Validez les points ci-dessous :

• Vérifiez si l’origine de la requête de ces requêtes fait partie du même réseau virtuel (VNET) où se trouve le service FHIR.

• Vérifiez si le point de terminaison privé et/ou la zone DNS privée sont partagés avec plusieurs réseaux virtuels en même temps. Il s’agit d’une mauvaise configuration connue qui peut provoquer des perturbations sur la résolution IP et entraîner le rejet des demandes.

Remarque

FHIR® est une marque déposée de HL7 utilisé avec l’autorisation de HL7.

DICOM® est une marque déposée de la National Electrical Manufacturers Association pour ses publications de standards relatifs aux communications numériques des informations médicales.