Private Link configureren
Met Private Link kunt u toegang krijgen tot Azure API for FHIR via een privé-eindpunt. Dit is een netwerkinterface die u privé en veilig verbindt met behulp van een privé-IP-adres van uw virtuele netwerk. Met private link hebt u vanuit uw VNet veilig toegang tot onze services als een eigen service zonder dat u via een openbaar Domain Name System (DNS) hoeft te gaan. In dit artikel wordt beschreven hoe u uw privé-eindpunt voor Azure API for FHIR maakt, test en beheert.
Notitie
Noch Private Link noch Azure API for FHIR kan van de ene resourcegroep of het abonnement naar een andere worden verplaatst zodra Private Link is ingeschakeld. Als u een verplaatsing wilt maken, verwijdert u eerst de Private Link en verplaatst u vervolgens Azure API for FHIR. Maak een nieuwe Private Link zodra de verplaatsing is voltooid. Evalueer mogelijke consequenties voor de beveiliging voordat u Private Link verwijdert.
Als het exporteren van auditlogboeken en metrische gegevens is ingeschakeld voor Azure API for FHIR, werkt u de exportinstelling bij via Diagnostische instellingen vanuit de portal.
Vereisten
Voordat u een privé-eindpunt maakt, moet u eerst enkele Azure-resources maken:
- Resourcegroep: de Azure-resourcegroep die het virtuele netwerk en het privé-eindpunt bevat.
- Azure API for FHIR: de FHIR-resource die u achter een privé-eindpunt wilt plaatsen.
- Virtual Network: het VNet waarmee uw clientservices en het privé-eindpunt worden verbonden.
Zie Private Link Documentatie voor meer informatie.
Privé-eindpunt maken
Als u een privé-eindpunt wilt maken, kan een ontwikkelaar met RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) voor de FHIR-resource de Azure Portal, Azure PowerShell of Azure CLI gebruiken. In dit artikel wordt u begeleid bij de stappen voor het gebruik van Azure Portal. Het gebruik van de Azure Portal wordt aanbevolen omdat hiermee het maken en configureren van de Privé-DNS zone wordt geautomatiseerd. Zie Aan de slag-handleidingen Private Link voor meer informatie.
Er zijn twee manieren om een privé-eindpunt te maken. Met de stroom voor automatische goedkeuring kan een gebruiker met RBAC-machtigingen voor de FHIR-resource een privé-eindpunt maken zonder goedkeuring. Met de handmatige goedkeuringsstroom kan een gebruiker zonder machtigingen voor de FHIR-resource een privé-eindpunt aanvragen om te worden goedgekeurd door eigenaren van de FHIR-resource.
Notitie
Wanneer een goedgekeurd privé-eindpunt wordt gemaakt voor Azure API for FHIR, wordt openbaar verkeer naar het eindpunt automatisch uitgeschakeld.
Automatische goedkeuring
Zorg ervoor dat de regio voor het nieuwe privé-eindpunt hetzelfde is als de regio voor uw virtuele netwerk. De regio voor uw FHIR-resource kan verschillen.
Zoek en selecteer Microsoft.HealthcareApis/services voor het resourcetype. Selecteer voor de resource de FHIR-resource. Selecteer FHIR voor doelsubresource.
Als u geen bestaande Privé-DNS zone hebt ingesteld, selecteert u (Nieuw)privatelink.azurehealthcareapis.com. Als u uw Privé-DNS zone al hebt geconfigureerd, kunt u deze selecteren in de lijst. Deze moet de indeling privatelink.azurehealthcareapis.com hebben.
Nadat de implementatie is voltooid, kunt u teruggaan naar het tabblad Verbindingen met privé-eindpunten . U ziet goedgekeurd als de verbindingsstatus.
Handmatige goedkeuring
Voor handmatige goedkeuring selecteert u de tweede optie onder Resource, 'Verbinding maken met een Azure-resource via resource-id of alias'. Voer bij Doelsubresource 'fhir' in zoals in Automatische goedkeuring.
Nadat de implementatie is voltooid, kunt u teruggaan naar het tabblad Privé-eindpuntverbindingen, waarop u uw verbinding kunt goedkeuren, weigeren of verwijderen.
VNet-peering
Als Private Link geconfigureerd, hebt u toegang tot de FHIR-server in hetzelfde VNet of een ander VNet dat is gekoppeld aan het VNet voor de FHIR-server. Volg de onderstaande stappen om VNet-peering en Private Link DNS-zoneconfiguratie te configureren.
VNet-peering configureren
U kunt VNet-peering configureren vanuit de portal of met behulp van PowerShell, CLI-scripts en een ARM-sjabloon (Azure Resource Manager). Het tweede VNet kan zich in dezelfde of verschillende abonnementen en in dezelfde of verschillende regio's bevinden. Zorg ervoor dat u de rol Netwerkbijdrager verleent. Zie Een virtuele netwerkpeering maken voor meer informatie over VNet-peering.
VNet-koppeling toevoegen aan de privékoppelingszone
Selecteer in de Azure Portal de resourcegroep van de FHIR-server. Selecteer en open de Privé-DNS zone privatelink.azurehealthcareapis.com. Selecteer Virtuele netwerkkoppelingen in de sectie Instellingen . Selecteer de knop Toevoegen om uw tweede VNet toe te voegen aan de privé-DNS-zone. Voer de naam van de koppeling van uw keuze in, selecteer het abonnement en het VNet dat u hebt gemaakt. Desgewenst kunt u de resource-id voor het tweede VNet invoeren. Selecteer Automatische registratie inschakelen, waarmee automatisch een DNS-record wordt toegevoegd voor uw VM die is verbonden met het tweede VNet. Wanneer u een VNet-koppeling verwijdert, wordt ook de DNS-record voor de VM verwijderd.
Zie DNS-configuratie van Azure-privé-eindpunt voor meer informatie over hoe de DNS-zone met een privékoppeling het IP-adres van het privé-eindpunt omgaat naar de FQDN-naam (Fully Qualified Domain Name) van de resource, zoals de FHIR-server.
U kunt indien nodig meer VNet-koppelingen toevoegen en alle VNet-koppelingen bekijken die u vanuit de portal hebt toegevoegd.
Op de blade Overzicht kunt u de privé-IP-adressen van de FHIR-server en de VM's bekijken die zijn verbonden met gekoppelde virtuele netwerken.
Privé-eindpunt beheren
Weergave
Privé-eindpunten en de bijbehorende netwerkinterfacecontroller (NIC) zijn zichtbaar in Azure Portal van de resourcegroep waarin ze zijn gemaakt.
Verwijderen
Privé-eindpunten kunnen alleen worden verwijderd uit de Azure Portal van de blade Overzicht of door de optie Verwijderen te selecteren op het tabblad Privé-eindpuntverbindingen voor netwerken. Als u Verwijderen selecteert, worden het privé-eindpunt en de bijbehorende NIC verwijderd. Als u alle privé-eindpunten voor de FHIR-resource en het openbare netwerk verwijdert, wordt de toegang uitgeschakeld en wordt er geen aanvraag verzonden naar uw FHIR-server.
Private Link en VNet-peering testen en problemen oplossen
Om ervoor te zorgen dat uw FHIR-server geen openbaar verkeer ontvangt na het uitschakelen van openbare netwerktoegang, selecteert u het eindpunt /metagegevens voor uw server op uw computer. U ontvangt een 403 Verboden.
Notitie
Het kan tot 5 minuten duren na het bijwerken van de vlag voor openbare netwerktoegang voordat openbaar verkeer wordt geblokkeerd.
Een VM maken en gebruiken
Ga als volgende te werk om ervoor te zorgen dat uw privé-eindpunt verkeer naar uw server kan verzenden:
- Maak een virtuele machine (VM) die is verbonden met het virtuele netwerk en subnet waarop uw privé-eindpunt is geconfigureerd. Schakel het uitgaande internetverkeer uit met behulp van de NSG-regel (netwerkbeveiligingsgroep).
- RDP naar de VM.
- Open het eindpunt /metadata van uw FHIR-server vanaf de VM. Als het goed is, ontvangt u de mogelijkheidsinstructie als antwoord.
nslookup gebruiken
U kunt het hulpprogramma nslookup gebruiken om de connectiviteit te controleren. Als de privékoppeling correct is geconfigureerd, ziet u dat de URL van de FHIR-server wordt omgezet in het geldige privé-IP-adres, zoals hieronder wordt weergegeven. Het IP-adres 168.63.129.16 is een virtueel openbaar IP-adres dat wordt gebruikt in Azure. Zie Wat is IP-adres 168.63.129.16 voor meer informatie.
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
Als de privékoppeling niet juist is geconfigureerd, ziet u mogelijk het openbare IP-adres en enkele aliassen, waaronder het Traffic Manager-eindpunt. Dit geeft aan dat de DNS-zone van de privékoppeling niet kan worden omgezet in het geldige privé-IP-adres van de FHIR-server. Wanneer VNet-peering is geconfigureerd, is een mogelijke reden dat het tweede gekoppelde VNet niet is toegevoegd aan de PRIVÉ-koppeling-DNS-zone. Als gevolg hiervan ziet u de HTTP-fout 403, 'Toegang tot xxx is geweigerd', wanneer u probeert toegang te krijgen tot het eindpunt /metagegevens van de FHIR-server.
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
Zie Problemen met Azure Private Link connectiviteit oplossen voor meer informatie.
Volgende stappen
In dit artikel hebt u geleerd hoe u de privékoppeling en VNet-peering configureert. U hebt ook geleerd hoe u problemen met de configuraties van de privékoppeling en VNet oplost.
Op basis van de installatie van uw Private Link en voor meer informatie over het registreren van uw toepassingen, raadpleegt u
- Een resourcetoepassing registreren
- Een vertrouwelijke clienttoepassing registreren
- Een openbare clienttoepassing registreren
- Een servicetoepassing registreren
FHIR® is een gedeponeerd handelsmerk van HL7 en wordt gebruikt met de toestemming van HL7.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor