Megosztás a következőn keresztül:

Privát kapcsolat konfigurálása az Azure Health Data Serviceshez

  • Cikk

A Private Link segítségével privát végponton keresztül érheti el az Azure Health Data Servicest. A Private Link egy hálózati adapter, amely privátan és biztonságosan csatlakoztatja Önt a virtuális hálózatról származó magánhálózati IP-cím használatával. A Private Link használatával a szolgáltatásainkat biztonságosan érheti el a virtuális hálózatról, mint első féltől származó szolgáltatás, anélkül, hogy nyilvános tartománynévrendszeren (DNS-en) kellene áthaladnia. Ez a cikk bemutatja, hogyan hozhat létre, tesztelhet és kezelhet privát végpontot az Azure Health Data Serviceshez.

Feljegyzés

A Private Link és az Azure Health Data Services nem helyezhető át egyik erőforráscsoportból vagy előfizetésből egy másikba, ha engedélyezve van a Private Link. Az áthelyezéshez először törölje a Private Linket, majd helyezze át az Azure Health Data Servicest. Az áthelyezés befejezése után hozzon létre egy új privát hivatkozást. Ezután értékelje ki a lehetséges biztonsági következményeket a privát kapcsolat törlése előtt.

Ha engedélyezett naplózási naplókat és metrikákat exportál, frissítse az exportálási beállítást a diagnosztikai Gépház a portálról.

Előfeltételek

Privát végpont létrehozása előtt először a következő Azure-erőforrásokat kell létrehozni:

  • Erőforráscsoport – A virtuális hálózatot és a privát végpontot tartalmazó Azure-erőforráscsoport.
  • Munkaterület – Az FHIR®- és DICOM-szolgáltatáspéldányok® logikai tárolója.
  • Virtuális hálózat – Az a virtuális hálózat, amelyhez az ügyfélszolgáltatások és a privát végpont csatlakozik.

További információt a Private Link dokumentációjában talál.

Privát végpont létrehozása

Privát végpont létrehozásához a szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel rendelkező felhasználók használhatják az Azure Portalt a munkaterületen vagy azon erőforráscsoportban, ahol a munkaterület található. Az Azure Portal használata ajánlott, mivel automatizálja a saját DNS zóna létrehozását és konfigurálását. További információ: Privát kapcsolat – rövid útmutatók.

A privát kapcsolat a munkaterület szintjén van konfigurálva, és automatikusan konfigurálva van a munkaterületen belüli összes FHIR- és DICOM-szolgáltatáshoz.

A privát végpontok kétféleképpen hozhatók létre. Az automatikus jóváhagyási folyamat lehetővé teszi, hogy a munkaterületen RBAC-engedélyekkel rendelkező felhasználók jóváhagyás nélkül hozzanak létre privát végpontot. A manuális jóváhagyási folyamat lehetővé teszi, hogy a munkaterület engedélyekkel nem rendelkező felhasználói kérvényt kérjenek, hogy a munkaterület vagy erőforráscsoport tulajdonosai hagyják jóvá a privát végpontot.

Feljegyzés

Ha egy jóváhagyott privát végpont jön létre az Azure Health Data Serviceshez, a nyilvános forgalom automatikusan le lesz tiltva.

Automatikus jóváhagyás

Győződjön meg arról, hogy az új privát végpont régiója megegyezik a virtuális hálózat régiójával. A munkaterület régiója eltérő lehet.

Képernyőkép az Azure Portal Alapszintű beállítások lapjáról.

Az erőforrástípushoz keresse meg és válassza ki a Microsoft.HealthcareApis/munkaterületeket a legördülő listából. Az erőforráshoz válassza ki a munkaterületet az erőforráscsoportban. A cél alforrás, a HealthcareWorkspace automatikusan fel lesz töltve.

Képernyőkép az Azure Portal Erőforrás lapjáról.

Manuális jóváhagyás

Manuális jóváhagyáshoz válassza az Erőforrás területen a második lehetőséget, Csatlakozás egy Azure-erőforráshoz erőforrás-azonosító vagy alias alapján. Az erőforrás-azonosítóhoz adja meg az előfizetéseket/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. A Cél alforrás esetében adja meg a HealthcareWorkspace-et az automatikus jóváhagyásban leírtak szerint.

A Manuális jóváhagyási erőforrások lap képernyőképe.

Az üzembe helyezés befejezése után válassza ki a Private Link erőforrást az erőforráscsoportban. Nyissa meg a DNS-konfigurációt a beállítások menüből. Megtalálhatja a munkaterület DNS-rekordjait és privát IP-címét, valamint az FHIR- és DICOM-szolgáltatásokat.

Képernyőkép az Azure Portal DNS-konfigurációjáról.

Az üzembe helyezés befejezése után keresse meg az üzembe helyezés részeként létrehozott új erőforráscsoportot. Két privát DNS-zónarekordot és egy-egy szolgáltatást kell látnia. Ha több FHIR- és DICOM-szolgáltatása van a munkaterületen, több DNS-zónarekord jön létre számukra.

Képernyőkép a Private Link FHIR-leképezés képéről.

Válassza ki a virtuális hálózati hivatkozásokat a Gépház. Figyelje meg, hogy az FHIR szolgáltatás a virtuális hálózathoz van csatolva.

Képernyőkép a Private Link virtuális hálózat FHIR-kapcsolatáról.

Hasonlóképpen láthatja a DICOM szolgáltatás privát kapcsolatleképezését is.

Képernyőkép a Private Link DICOM-leképezés képéről.

Azt is láthatja, hogy a DICOM szolgáltatás a virtuális hálózathoz van csatolva.

Képernyőkép a Private Link virtuális hálózat link DICOM-ról.

Privát végpont tesztelése

Ha ellenőrizni szeretné, hogy a szolgáltatás nem kap-e nyilvános forgalmat a nyilvános hálózati hozzáférés letiltása után, válassza ki az /metadata FHIR szolgáltatás végpontját vagy a DICOM szolgáltatás /health/check végpontját, és a 403 Tiltott üzenetet fogja kapni.

A nyilvános hálózati hozzáférési jelző frissítése után akár 5 percig is eltarthat, mielőtt a nyilvános forgalom le lenne tiltva.

Fontos

Minden alkalommal, amikor új szolgáltatást adnak hozzá a Private Link-kompatibilis munkaterülethez, várja meg, amíg a kiépítés befejeződik. Frissítse a privát végpontot, ha a DNS A-rekordok nem frissülnek a munkaterületen újonnan hozzáadott szolgáltatás(ok)hoz. Ha a DNS A-rekordok nem frissülnek a privát DNS-zónában, az újonnan hozzáadott szolgáltatás(ok) kérései nem lépnek át a Private Linken.

Annak biztosítása érdekében, hogy a privát végpont forgalmat küldjön a kiszolgálónak:

  1. Hozzon létre egy virtuális gépet (VM), amely csatlakozik a virtuális hálózathoz és az alhálózathoz, amelyen a privát végpont konfigurálva van. Annak érdekében, hogy a virtuális gépről érkező forgalom csak a magánhálózatot használja, tiltsa le a kimenő internetes forgalmat a hálózati biztonsági csoport (NSG) szabályával.
  2. Távoli asztali protokollok (RDP) a virtuális gépre.
  3. Az FHIR-kiszolgáló végpontjának /metadata elérése a virtuális gépről. Válaszként meg kell kapnia a képességutasítást.

Feljegyzés

Az FHIR® a HL7 bejegyzett védjegye, amelyet a HL7 engedélyével használnak.

A DICOM® az Országos Elektromos Gyártók Országos Szövetségének bejegyzett védjegye az orvosi információk digitális kommunikációjával kapcsolatos szabványügyi kiadványaihoz.