Mengonfigurasi Private Link untuk Azure Health Data Services

Private Link memungkinkan Anda mengakses Azure Health Data Services melalui titik akhir privat. Private Link adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman menggunakan alamat IP privat dari jaringan virtual Anda. Dengan Private Link, Anda dapat mengakses layanan kami dengan aman dari jaringan virtual Anda sebagai layanan pihak pertama tanpa harus melalui Sistem Nama Domain (DNS) publik. Artikel ini menjelaskan cara membuat, menguji, dan mengelola Titik Akhir Privat anda untuk Azure Health Data Services.

Catatan

Private Link maupun Azure Health Data Services tidak dapat dipindahkan dari satu grup sumber daya atau langganan ke grup sumber daya lainnya setelah Private Link diaktifkan. Untuk melakukan pemindahan, hapus Private Link terlebih dahulu, lalu pindahkan Azure Health Data Services. Buat Private Link baru setelah pemindahan selesai. Selanjutnya, menilai potensi ramifikasi keamanan sebelum menghapus Private Link.

Jika Anda mengekspor log audit dan metrik yang diaktifkan, perbarui pengaturan ekspor melalui Pengaturan Diagnostik dari portal.

Prasyarat

Sebelum Anda membuat titik akhir privat, sumber daya Azure berikut harus dibuat terlebih dahulu:

• Grup Sumber Daya – Grup sumber daya Azure yang berisi jaringan virtual dan titik akhir privat.
• Ruang kerja – Kontainer logis untuk instans layanan FHIR® dan DICOM®.
• Virtual Network – Jaringan virtual tempat layanan klien dan titik akhir privat Anda terhubung.

Untuk informasi selengkapnya, lihat Dokumentasi Private Link.

Buat titik akhir pribadi

Untuk membuat titik akhir privat, pengguna dengan izin Kontrol akses berbasis Peran (RBAC) di ruang kerja atau grup sumber daya tempat ruang kerja berada dapat menggunakan portal Azure. Menggunakan portal Azure disarankan karena mengotomatiskan pembuatan dan konfigurasi Zona DNS Privat. Untuk informasi selengkapnya, lihat Panduan Mulai Cepat Private Link.

Tautan privat dikonfigurasi di tingkat ruang kerja, dan secara otomatis dikonfigurasi untuk semua layanan FHIR dan DICOM dalam ruang kerja.

Ada dua cara untuk membuat titik akhir privat. Alur Persetujuan Otomatis memungkinkan pengguna yang memiliki izin RBAC di ruang kerja untuk membuat titik akhir privat tanpa perlu persetujuan. Alur Persetujuan Manual memungkinkan pengguna tanpa izin di ruang kerja untuk meminta pemilik ruang kerja atau grup sumber daya menyetujui titik akhir privat.

Catatan

Saat titik akhir privat yang disetujui dibuat untuk Azure Health Data Services, lalu lintas publik ke titik akhir tersebut secara otomatis dinonaktifkan.

Persetujuan otomatis

Pastikan wilayah untuk titik akhir privat baru sama dengan wilayah untuk jaringan virtual Anda. Wilayah untuk ruang kerja bisa berbeda.

Untuk jenis sumber daya, cari dan pilih Microsoft.HealthcareApis/workspaces dari daftar drop-down. Untuk sumber daya, pilih ruang kerja di grup sumber daya. Sub sumber daya target, ruang kerja kesehatan, secara otomatis diisi.

Persetujuan manual

Untuk persetujuan manual, pilih opsi kedua di bawah Sumber Daya, Koneksi ke sumber daya Azure berdasarkan ID sumber daya atau alias. Untuk ID sumber daya, masukkan langganan/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. Untuk sub sumber daya Target, masukkan ruang kerja kesehatan seperti dalam Persetujuan Otomatis.

Konfigurasi DNS Private Link

Setelah penyebaran selesai, pilih sumber daya Private Link di grup sumber daya. Buka konfigurasi DNS dari menu pengaturan. Anda dapat menemukan catatan DNS dan alamat IP privat untuk ruang kerja, serta layanan FHIR dan DICOM.

Pemetaan Private Link

Setelah penyebaran selesai, telusuri ke grup sumber daya baru yang dibuat sebagai bagian dari penyebaran. Anda akan melihat dua rekaman zona DNS privat dan satu untuk setiap layanan. Jika Anda memiliki lebih banyak layanan FHIR dan DICOM di ruang kerja, lebih banyak catatan zona DNS dibuat untuk mereka.

Pilih Tautan jaringan virtual dari Pengaturan. Perhatikan bahwa layanan FHIR ditautkan ke jaringan virtual.

Demikian pula, Anda dapat melihat pemetaan tautan privat untuk layanan DICOM.

Selain itu, Anda dapat melihat layanan DICOM ditautkan ke jaringan virtual.

Menguji titik akhir privat

Untuk memverifikasi bahwa layanan Anda tidak menerima lalu lintas publik setelah menonaktifkan akses jaringan publik, pilih /metadata titik akhir untuk layanan FHIR Anda, atau titik akhir /health/check layanan DICOM, dan Anda akan menerima pesan 403 Terlarang.

Dibutuhkan waktu hingga 5 menit setelah memperbarui bendera akses jaringan publik sebelum lalu lintas publik diblokir.

Penting

Setiap kali layanan baru ditambahkan ke ruang kerja yang diaktifkan Private Link, tunggu hingga provisi selesai. Refresh titik akhir privat jika rekaman DNS A tidak diperbarui untuk layanan yang baru ditambahkan di ruang kerja. Jika catatan DNS A tidak diperbarui di zona DNS privat Anda, permintaan ke layanan yang baru ditambahkan tidak akan melewati Private Link.

Untuk memastikan Titik Akhir Privat Anda dapat mengirim lalu lintas ke server Anda:

1. Buat komputer virtual (VM) yang terhubung ke jaringan virtual dan subnet tempat Titik Akhir Privat Anda dikonfigurasi. Untuk memastikan lalu lintas Anda dari VM hanya menggunakan jaringan privat, nonaktifkan lalu lintas internet keluar menggunakan aturan kelompok keamanan jaringan (NSG).
2. Protokol Desktop Jarak Jauh (RDP) ke VM.
3. Akses titik akhir server /metadata FHIR Anda dari VM. Anda harus menerima pernyataan kemampuan sebagai respons.

Catatan

FHIR® adalah merek dagang terdaftar HL7 dan digunakan dengan izin HL7.

DICOM® adalah merek dagang terdaftar dari Asosiasi Produsen Listrik Nasional untuk publikasi Standar yang berkaitan dengan komunikasi digital informasi medis.