Private Link konfigurálása az Azure Health Data Serviceshez

  • Cikk

Private Link lehetővé teszi az Azure Health Data Services privát végponton keresztüli elérését. Private Link egy hálózati adapter, amely privát és biztonságos módon csatlakozik Önhöz a virtuális hálózatból származó magánhálózati IP-cím használatával. A Private Link lehetővé teszi, hogy a szolgáltatásainkat biztonságosan elérhesse a virtuális hálózatról belső szolgáltatásként anélkül, hogy nyilvános tartománynévrendszeren (DNS) kellene keresztülmennie. Ez a cikk az Azure Health Data Services privát végpontjának létrehozását, tesztelését és kezelését ismerteti.

Megjegyzés

A Private Link engedélyezése után sem Private Link, sem az Azure Health Data Services nem helyezhető át egyik erőforráscsoportból vagy előfizetésből egy másikba. Az áthelyezéshez először törölje a Private Link, majd helyezze át az Azure Health Data Servicest. Hozzon létre egy új Private Link az áthelyezés befejezése után. Ezután értékelje ki a lehetséges biztonsági következményeket a Private Link törlése előtt.

Ha engedélyezve lévő auditnaplókat és metrikákat exportál, frissítse az exportálási beállítást a diagnosztikai beállításokon keresztül a portálról.

Előfeltételek

Privát végpont létrehozása előtt először a következő Azure-erőforrásokat kell létrehozni:

  • Erőforráscsoport – A virtuális hálózatot és a privát végpontot tartalmazó Azure-erőforráscsoport.
  • Munkaterület – Ez egy logikai tároló az FHIR- és DICOM-szolgáltatáspéldányokhoz.
  • Virtual Network – Az a virtuális hálózat, amelyhez az ügyfélszolgáltatások és a privát végpont csatlakozik.

További információ: Private Link dokumentáció.

Privát végpont létrehozása

Privát végpont létrehozásához a szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel rendelkező felhasználók használhatják a Azure Portal. A Azure Portal használata ajánlott, mivel automatizálja a saját DNS zóna létrehozását és konfigurálását. További információ: Private Link rövid útmutatók.

A privát kapcsolat a munkaterület szintjén van konfigurálva, és automatikusan konfigurálva van a munkaterületen belüli összes FHIR- és DICOM-szolgáltatáshoz.

A privát végpontok kétféleképpen hozhatók létre. Az automatikus jóváhagyási folyamat lehetővé teszi, hogy a munkaterületen RBAC-engedélyekkel rendelkező felhasználók jóváhagyás nélkül hozzanak létre privát végpontot. A manuális jóváhagyási folyamat lehetővé teszi, hogy a munkaterület engedélyével nem rendelkező felhasználók privát végpontot kérjenek a munkaterület vagy erőforráscsoport tulajdonosainak jóváhagyására.

Megjegyzés

Ha jóváhagyott privát végpont jön létre az Azure Health Data Serviceshez, a nyilvános forgalom automatikusan le lesz tiltva.

Automatikus jóváhagyás

Győződjön meg arról, hogy az új privát végpont régiója megegyezik a virtuális hálózat régiójával. A munkaterület régiója eltérő lehet.

A Azure Portal Alapszintű lap képernyőképe.

Az erőforrástípushoz keressen rá, és válassza a Microsoft.HealthcareApis/workspaces elemet a legördülő listából. Az erőforráshoz válassza ki a munkaterületet az erőforráscsoportban. A cél alforrás, az healthcareworkspace automatikusan fel lesz töltve.

A Azure Portal Erőforrás lap képernyőképe.

Manuális jóváhagyás

Manuális jóváhagyáshoz válassza az Erőforrás, Csatlakozás Azure-erőforráshoz erőforrás-azonosító vagy alias alapján területen található második lehetőséget. Az erőforrás-azonosítóhoz adja meg az előfizetéseket/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. A Cél alforrás esetében adja meg az healthcareworkspace kifejezést az Automatikus jóváhagyás mezőben.

A Manuális jóváhagyási erőforrások lap képernyőképe.

Az üzembe helyezés befejezése után válassza ki a Private Link erőforrást az erőforráscsoportban. Nyissa meg a DNS-konfigurációt a beállítások menüből. Megtalálhatja a munkaterület DNS-rekordjait és privát IP-címeit, valamint az FHIR- és DICOM-szolgáltatásokat.

A Azure Portal DNS-konfiguráció képernyőképe.

Az üzembe helyezés befejezése után keresse meg az üzembe helyezés részeként létrehozott új erőforráscsoportot. Két privát DNS-zónarekordot és egy-egy szolgáltatást fog látni. Ha több FHIR- és DICOM-szolgáltatás van a munkaterületen, további DNS-zónarekordok jönnek létre számukra.

Private Link FHIR-leképezés képernyőképe.

Válassza a Virtuális hálózati hivatkozások lehetőséget a Beállítások területen. Látni fogja, hogy az FHIR szolgáltatás a virtuális hálózathoz van társítva.

A VNet Link FHIR Private Link képernyőképe.

Hasonlóképpen láthatja a DICOM szolgáltatás privát kapcsolatleképezését is.

Private Link DICOM-leképezés képernyőképe.

Azt is láthatja, hogy a DICOM szolgáltatás kapcsolódik a virtuális hálózathoz.

Private Link VNet Link DICOM képernyőképe

Privát végpont tesztelése

Ha ellenőrizni szeretné, hogy a szolgáltatás nem fogad-e nyilvános forgalmat a nyilvános hálózati hozzáférés letiltása után, válassza ki az /metadata FHIR szolgáltatás végpontját vagy a DICOM szolgáltatás /health/check végpontját, és a 403 Tiltott üzenet jelenik meg.

Megjegyzés

A nyilvános hálózati hozzáférési jelző frissítése után akár 5 percet is igénybe vehet, mielőtt a nyilvános forgalom le lenne tiltva.

Fontos

Minden alkalommal, amikor új szolgáltatást adnak hozzá a Private Link engedélyezett munkaterülethez, várjon, amíg a kiépítés befejeződik. Frissítse a privát végpontot, ha a DNS A-rekordok nem frissülnek a munkaterületen újonnan hozzáadott szolgáltatás(ok)hoz. Ha a DNS A-rekordok nem frissülnek a privát DNS-zónában, az újonnan hozzáadott szolgáltatás(ok) kérései nem lépnek át Private Link.

Annak biztosítása érdekében, hogy a privát végpont képes legyen forgalmat küldeni a kiszolgálóra:

  1. Hozzon létre egy virtuális gépet (VM), amely csatlakozik a virtuális hálózathoz és az alhálózathoz, amelyen a privát végpont konfigurálva van. Ha azt szeretné, hogy a virtuális gépről érkező forgalom csak a magánhálózatot használja, tiltsa le a kimenő internetes forgalmat a hálózati biztonsági csoport (NSG) szabályával.
  2. Távoli asztali protokollok (RDP) a virtuális gépre.
  3. Hozzáférés az FHIR-kiszolgáló végpontjához /metadata a virtuális gépről. Válaszként meg kell kapnia a képességutasítást.

Következő lépések

Ebből a cikkből megtudhatja, hogyan konfigurálhat Private Link az Azure Health Data Serviceshez. Private Link a munkaterület szintjén van konfigurálva, és minden alforrás, például a munkaterülettel rendelkező FHIR-szolgáltatások és DICOM-szolgáltatások a Private Link és a virtuális hálózathoz kapcsolódnak. További információ az Azure Health Data Servicesről:

Az Azure Health Data Services áttekintése

Az FHIR® a HL7 bejegyzett védjegye, amelyet a HL7 engedélyével használnak.