Bagikan melalui


Mengonfigurasi tautan privat

Tautan privat memungkinkan Anda mengakses Azure API untuk FHIR melalui titik akhir privat, yang merupakan antarmuka jaringan yang menghubungkan Anda secara privat dan aman menggunakan alamat IP privat dari jaringan virtual Anda. Dengan tautan privat, Anda dapat mengakses layanan kami dengan aman dari VNet Anda sebagai layanan pihak pertama tanpa harus melalui Sistem Nama Domain (DNS) publik. Artikel ini menjelaskan cara membuat, menguji, dan mengelola titik akhir privat Anda untuk Azure API untuk FHIR.

Catatan

Baik Private Link maupun Azure API untuk FHIR tidak dapat dipindahkan dari satu grup sumber daya atau langganan ke grup sumber daya lainnya setelah Private Link diaktifkan. Untuk melakukan pemindahan, hapus Private Link terlebih dahulu, lalu pindahkan Azure API untuk FHIR. Buat Private Link baru setelah pemindahan selesai. Menilai potensi ramifikasi keamanan sebelum menghapus Private Link.

Jika mengekspor log audit dan metrik diaktifkan untuk Azure API untuk FHIR, perbarui pengaturan ekspor melalui Pengaturan Diagnostik dari portal.

Prasyarat

Sebelum membuat titik akhir privat, ada beberapa sumber daya Azure yang harus Anda buat terlebih dahulu:

  • Grup Sumber Daya – Grup sumber daya Azure yang akan berisi jaringan virtual dan titik akhir privat.
  • Azure API untuk FHIR – Sumber daya FHIR yang ingin Anda letakkan di belakang titik akhir privat.
  • Virtual Network – VNet tempat layanan klien dan Titik Akhir Privat Anda akan terhubung.

Untuk informasi selengkapnya, lihat Dokumentasi Private Link.

Buat titik akhir pribadi

Untuk membuat titik akhir privat, pengembang dengan izin kontrol akses berbasis Peran (RBAC) pada sumber daya FHIR dapat menggunakan portal Azure, Azure PowerShell, atau Azure CLI. Artikel ini akan memandu Anda melalui langkah-langkah penggunaan portal Azure. Menggunakan portal Azure disarankan karena mengotomatiskan pembuatan dan konfigurasi Zona DNS Privat. Untuk informasi selengkapnya, lihat Panduan Mulai Cepat Private Link.

Ada dua cara untuk membuat titik akhir privat. Alur Persetujuan Otomatis memungkinkan pengguna yang memiliki izin RBAC pada sumber daya FHIR untuk membuat titik akhir privat tanpa perlu persetujuan. Alur Persetujuan Manual memungkinkan pengguna tanpa izin pada sumber daya FHIR untuk meminta titik akhir privat disetujui oleh pemilik sumber daya FHIR.

Catatan

Saat titik akhir privat yang disetujui dibuat untuk Azure API untuk FHIR, lalu lintas publik ke titik akhir tersebut secara otomatis dinonaktifkan.

Persetujuan otomatis

Pastikan wilayah untuk titik akhir privat baru sama dengan wilayah untuk jaringan virtual Anda. Wilayah untuk sumber daya FHIR Anda bisa berbeda.

Tab Dasar portal Azure

Untuk jenis sumber daya, cari dan pilih Microsoft.HealthcareApis/services. Untuk sumber daya, pilih sumber daya FHIR. Untuk subsumber daya target, pilih FHIR.

Tab Sumber Daya portal Azure

Jika Anda belum menyiapkan Zona DNS Privat, pilih (Baru)privatelink.azurehealthcareapis.com. Jika Anda sudah mengonfigurasi Zona DNS Privat, Anda bisa memilihnya dari daftar. Ini harus dalam format privatelink.azurehealthcareapis.com.

Tab Konfigurasi portal Azure

Setelah penyebaran selesai, Anda dapat kembali ke tab Koneksi titik akhir privat tempat Anda akan melihat Disetujui sebagai status koneksi.

Persetujuan Manual

Untuk persetujuan manual, pilih opsi kedua di bawah Sumber Daya, "Sambungkan ke sumber daya Azure dengan ID sumber daya atau alias". Untuk Subsumber daya target, masukkan "fhir" seperti dalam Persetujuan Otomatis.

Persetujuan Manual

Setelah penyebaran selesai, Anda dapat kembali ke tab "Koneksi titik akhir privat", tempat Anda dapat Menyetujui, Menolak, atau Menghapus koneksi Anda.

Opsi

Peering VNet

Dengan Private Link dikonfigurasi, Anda dapat mengakses server FHIR di VNet yang sama atau VNet lain yang di-peering ke VNet untuk server FHIR. Ikuti langkah-langkah di bawah ini untuk mengonfigurasi peering VNet dan konfigurasi zona DNS Private Link.

Mengonfigurasi Peering VNet

Anda dapat mengonfigurasi peering VNet dari portal atau menggunakan templat PowerShell, skrip CLI, dan Azure Resource Manager (ARM). VNet kedua dapat berada di langganan yang sama atau berbeda, dan di wilayah yang sama atau berbeda. Pastikan Anda memberikan peran Kontributor jaringan . Untuk informasi selengkapnya tentang Peering VNet, lihat Membuat peering jaringan virtual.

Di portal Azure, pilih grup sumber daya server FHIR. Pilih dan buka zona DNS Privat, privatelink.azurehealthcareapis.com. Pilih Tautan jaringan virtual di bawah bagian pengaturan . Pilih tombol Tambahkan untuk menambahkan VNet kedua Anda ke zona DNS privat. Masukkan nama tautan pilihan Anda, pilih langganan dan VNet yang Anda buat. Secara opsional, Anda dapat memasukkan ID sumber daya untuk VNet kedua. Pilih Aktifkan pendaftaran otomatis, yang secara otomatis menambahkan catatan DNS untuk VM Anda yang tersambung ke VNet kedua. Saat Anda menghapus tautan VNet, catatan DNS untuk VM juga dihapus.

Untuk informasi selengkapnya tentang bagaimana zona DNS tautan privat menyelesaikan alamat IP titik akhir privat ke nama domain yang sepenuhnya memenuhi syarat (FQDN) sumber daya seperti server FHIR, lihat Konfigurasi DNS Titik Akhir Privat Azure.

Tambahkan tautan VNet.

Anda dapat menambahkan lebih banyak tautan VNet jika diperlukan, dan melihat semua tautan VNet yang telah Anda tambahkan dari portal.

Private Link tautan VNet.

Dari bilah Gambaran Umum, Anda dapat melihat alamat IP privat server FHIR dan VM yang terhubung ke jaringan virtual yang di-peering.

Private Link Alamat IP Privat FHIR dan VM.

Mengelola titik akhir privat

Tampilan

Titik akhir privat dan pengontrol antarmuka jaringan (NIC) terkait terlihat dalam portal Azure dari grup sumber daya tempat mereka dibuat.

Menampilkan dalam sumber daya

Hapus

Titik akhir privat hanya dapat dihapus dari portal Azure dari bilah Gambaran Umum atau dengan memilih opsi Hapus di bawah tab Koneksi titik akhir Privat Jaringan. Memilih Hapus akan menghapus titik akhir privat dan NIC terkait. Jika Anda menghapus semua titik akhir privat ke sumber daya FHIR dan jaringan publik, akses dinonaktifkan dan tidak ada permintaan yang akan masuk ke server FHIR Anda.

Menghapus Titik Akhir Privat

Untuk memastikan bahwa server FHIR Anda tidak menerima lalu lintas publik setelah menonaktifkan akses jaringan publik, pilih titik akhir /metadata untuk server Anda dari komputer Anda. Anda harus menerima 403 Terlarang.

Catatan

Diperlukan waktu hingga 5 menit setelah memperbarui bendera akses jaringan publik sebelum lalu lintas publik diblokir.

Membuat dan menggunakan VM

Untuk memastikan titik akhir privat Anda dapat mengirim lalu lintas ke server Anda:

  1. Buat komputer virtual (VM) yang terhubung ke jaringan virtual dan subnet tempat titik akhir privat Anda dikonfigurasi. Untuk memastikan lalu lintas Anda dari VM hanya menggunakan jaringan privat, nonaktifkan lalu lintas internet keluar menggunakan aturan kelompok keamanan jaringan (NSG).
  2. RDP ke VM.
  3. Akses titik akhir /metadata server FHIR Anda dari VM. Anda harus menerima pernyataan kemampuan sebagai respons.

Menggunakan nslookup

Anda dapat menggunakan alat nslookup untuk memverifikasi konektivitas. Jika tautan privat dikonfigurasi dengan benar, Anda akan melihat URL server FHIR diselesaikan ke alamat IP privat yang valid, seperti yang ditunjukkan di bawah ini. Perhatikan bahwa alamat IP 168.63.129.16 adalah alamat IP publik virtual yang digunakan di Azure. Untuk informasi selengkapnya, lihat Apa itu alamat IP 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Jika tautan privat tidak dikonfigurasi dengan benar, Anda mungkin melihat alamat IP publik sebagai gantinya dan beberapa alias termasuk titik akhir Traffic Manager. Ini menunjukkan bahwa zona DNS tautan privat tidak dapat diselesaikan ke alamat IP privat server FHIR yang valid. Ketika peering VNet dikonfigurasi, salah satu alasan yang mungkin adalah bahwa VNet kedua yang di-peering belum ditambahkan ke zona DNS tautan privat. Akibatnya, Anda akan melihat kesalahan HTTP 403, "Akses ke xxx ditolak", ketika mencoba mengakses titik akhir /metadata server FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Untuk informasi selengkapnya, lihat Memecahkan masalah konektivitas Azure Private Link.

Langkah berikutnya

Dalam artikel ini, Anda telah mempelajari cara mengonfigurasi tautan privat dan peering VNet. Anda juga mempelajari cara memecahkan masalah tautan privat dan konfigurasi VNet.

Berdasarkan penyiapan tautan privat Anda dan untuk informasi selengkapnya tentang mendaftarkan aplikasi Anda, lihat

FHIR® adalah merek dagang terdaftar HL7 dan digunakan dengan izin HL7.