Delen via

Privékoppeling configureren

  • Artikel

Belangrijk

Azure API for FHIR wordt op 30 september 2026 buiten gebruik gesteld. Volg de migratiestrategieën om op die datum over te stappen naar de FHIR-service® van Azure Health Data Services. Vanwege de buitengebruikstelling van Azure API for FHIR zijn nieuwe implementaties vanaf 1 april 2025 niet toegestaan. De FHIR-service van Azure Health Data Services is de ontwikkelde versie van Azure API for FHIR waarmee klanten FHIR-, DICOM- en MedTech-services kunnen beheren met integraties in andere Azure-services.

Met Private Link hebt u toegang tot Azure API for FHIR® via een privé-eindpunt. Dit is een netwerkinterface waarmee u privé en veilig verbinding kunt maken met behulp van een privé-IP-adres van uw virtuele netwerk. Met private link hebt u veilig toegang tot onze services vanuit uw virtuele netwerk als een service van eerste partijen zonder dat u een openbaar Domain Name System (DNS) hoeft te doorlopen. In dit artikel wordt beschreven hoe u uw privé-eindpunt voor Azure API for FHIR maakt, test en beheert.

Notitie

Private Link of Azure API for FHIR kan niet worden verplaatst van de ene resourcegroep of het andere abonnement zodra Private Link is ingeschakeld. Als u een verplaatsing wilt maken, verwijdert u eerst de Private Link en verplaatst u vervolgens Azure API for FHIR. Maak een nieuwe Private Link zodra de verplaatsing is voltooid. Evalueer mogelijke gevolgen voor beveiliging voordat u Private Link verwijdert.

Als het exporteren van auditlogboeken en metrische gegevens is ingeschakeld voor Azure API for FHIR, werkt u de exportinstelling bij via diagnostische instellingen vanuit de portal.

Vereisten

Voordat u een privé-eindpunt maakt, moet u Eerst Azure-resources maken.

  • Resourcegroep: de Azure-resourcegroep die het virtuele netwerk en het privé-eindpunt bevat.
  • Azure API for FHIR: de FHIR-resource die u achter een privé-eindpunt wilt plaatsen.
  • Virtueel netwerk (VNet): het VNet waarmee uw clientservices en privé-eindpunt worden verbonden.

Zie de documentatie van Private Link voor meer informatie.

Privé-eindpunt maken

Als u een privé-eindpunt wilt maken, kan een ontwikkelaar met RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) voor de FHIR-resource gebruikmaken van Azure Portal, Azure PowerShell of Azure CLI. In dit artikel wordt u begeleid bij de stappen voor het gebruik van Azure Portal. Azure Portal wordt aanbevolen omdat hiermee het maken en configureren van de Privé-DNS Zone wordt geautomatiseerd. Zie Snelstartgidsen voor Private Link voor meer informatie.

Er zijn twee manieren om een privé-eindpunt te maken. Met de stroom voor automatische goedkeuring kan een gebruiker met RBAC-machtigingen voor de FHIR-resource een privé-eindpunt maken zonder goedkeuring. Door handmatige goedkeuringsstroom kan een gebruiker zonder machtigingen voor de FHIR-resource een privé-eindpunt aanvragen dat wordt goedgekeurd door eigenaren van de FHIR-resource.

Notitie

Wanneer een goedgekeurd privé-eindpunt wordt gemaakt voor Azure API for FHIR, wordt openbaar verkeer naar het eindpunt automatisch uitgeschakeld.

Automatische goedkeuring

Zorg ervoor dat de regio voor het nieuwe privé-eindpunt hetzelfde is als de regio voor uw virtuele netwerk. De regio voor uw FHIR-resource kan verschillen.

Tabblad Basisbeginselen van Azure Portal

Zoek en selecteer Microsoft.HealthcareApis/services voor het resourcetype. Selecteer de FHIR-resource voor de resource. Selecteer FHIR voor doelsubresource.

Tabblad Resource in Azure Portal

Als u geen bestaande Privé-DNS zone hebt ingesteld, selecteert u (Nieuw)privatelink.azurehealthcareapis.com. Als u uw Privé-DNS zone al hebt geconfigureerd, kunt u deze selecteren in de lijst. Deze moet de indeling van privatelink.azurehealthcareapis.com hebben.

Configuratietabblad van Azure Portal

Nadat de implementatie is voltooid, kunt u teruggaan naar het tabblad Privé-eindpuntverbindingen waarvan u ziet dat deze is goedgekeurd als de verbindingsstatus.

Handmatige goedkeuring

Voor handmatige goedkeuring selecteert u de tweede optie onder Resource, 'Verbinding maken met een Azure-resource op resource-id of alias'. Voer voor doelsubresource 'fhir' in zoals in Automatisch goedkeuren.

Handmatige goedkeuring

Nadat de implementatie is voltooid, kunt u teruggaan naar het tabblad Privé-eindpuntverbindingen, waarop u de verbinding kunt goedkeuren, afwijzen of verwijderen.

Opties

VNET-peering

Als Private Link is geconfigureerd, hebt u toegang tot de FHIR-server in hetzelfde VNet of een ander VNet dat is gekoppeld aan het VNet voor de FHIR-server. Gebruik de volgende stappen om VNet-peering en de DNS-zoneconfiguratie van Private Link te configureren.

VNet-peering configureren

U kunt VNet-peering configureren vanuit de portal of met behulp van PowerShell, CLI-scripts en een ARM-sjabloon (Azure Resource Manager). Het tweede VNet kan zich in dezelfde of verschillende abonnementen bevinden, en in dezelfde of verschillende regio's. Zorg ervoor dat u de rol Netwerkbijdrager verleent. Zie Een peering voor een virtueel netwerk maken voor meer informatie over VNet-peering.

Selecteer in Azure Portal de resourcegroep van de FHIR-server. Selecteer en open de Privé-DNS zone privatelink.azurehealthcareapis.com. Selecteer Koppelingen naar virtueel netwerk in de sectie Instellingen . Selecteer de knop Toevoegen om uw tweede VNet toe te voegen aan de privé-DNS-zone. Voer de naam van de koppeling naar keuze in, selecteer het abonnement en het VNet dat u hebt gemaakt. U kunt desgewenst de resource-id voor het tweede VNet invoeren. Selecteer Automatische registratie inschakelen, waarmee automatisch een DNS-record wordt toegevoegd voor uw VIRTUELE machine die is verbonden met het tweede VNet. Wanneer u een VNet-koppeling verwijdert, wordt de DNS-record voor de virtuele machine ook verwijderd.

Zie de DNS-configuratie van Azure Private Endpoint voor meer informatie over hoe een DNS-zone van een privékoppeling het IP-adres van het privé-eindpunt omzetten in de FQDN-naam (Fully Qualified Domain Name) van de resource, zoals de FHIR-server.

VNet-koppeling toevoegen.

U kunt indien nodig meer VNet-koppelingen toevoegen en alle VNet-koppelingen bekijken die u vanuit de portal hebt toegevoegd.

VNet-koppelingen van Private Link.

Op de blade Overzicht kunt u de privé-IP-adressen van de FHIR-server en de VM's weergeven die zijn verbonden met gekoppelde virtuele netwerken.

Private Link FHIR en privé-IP-adressen van vm's.

Privé-eindpunt beheren

Weergave

Privé-eindpunten en de bijbehorende NIC (Network Interface Controller) zijn zichtbaar in Azure Portal vanuit de resourcegroep waarin ze zijn gemaakt.

Weergeven in resources

Delete

Privé-eindpunten kunnen alleen worden verwijderd uit Azure Portal op de blade Overzicht of door de optie Verwijderen te selecteren op het tabblad Privé-eindpuntverbindingen voor netwerken. Als u Verwijderen selecteert, worden het privé-eindpunt en de bijbehorende NIC verwijderd. Als u alle privé-eindpunten verwijdert naar de FHIR-resource en het openbare netwerk, wordt de toegang uitgeschakeld en wordt er geen aanvraag naar uw FHIR-server verzonden.

Privé-eindpunt verwijderen

Als u ervoor wilt zorgen dat uw FHIR-server geen openbaar verkeer ontvangt nadat u openbare netwerktoegang hebt uitgeschakeld, selecteert u het eindpunt /metadata voor uw server vanaf uw computer. U ontvangt een 403 Verboden.

Notitie

Het kan tot 5 minuten duren voordat het openbare netwerktoegangsvlag is bijgewerkt voordat openbaar verkeer wordt geblokkeerd.

Een VIRTUELE machine maken en gebruiken

Om ervoor te zorgen dat uw privé-eindpunt verkeer naar uw server kan verzenden:

  1. Maak een virtuele machine (VM) die is verbonden met het virtuele netwerk en het subnet waarop uw privé-eindpunt is geconfigureerd. Schakel het uitgaande internetverkeer uit met behulp van de netwerkbeveiligingsgroepregel (NSG) om ervoor te zorgen dat uw verkeer van de virtuele machine alleen gebruikmaakt van het privénetwerk.
  2. RDP in de VIRTUELE machine.
  3. Open het /metadata-eindpunt van uw FHIR-server vanaf de VIRTUELE machine. U moet de mogelijkheidsinstructie als antwoord ontvangen.

nslookup gebruiken

U kunt het hulpprogramma nslookup gebruiken om de connectiviteit te controleren. Als de private link juist is geconfigureerd, ziet u dat de URL van de FHIR-server als volgt wordt omgezet in het geldige privé-IP-adres. Het IP-adres 168.63.129.16 is een virtueel openbaar IP-adres dat wordt gebruikt in Azure. Zie Wat is IP-adres 168.63.129.16 voor meer informatie.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Als de privékoppeling niet juist is geconfigureerd, ziet u mogelijk het openbare IP-adres en enkele aliassen, waaronder het Traffic Manager-eindpunt. Dit geeft aan dat de DNS-zone van private link niet kan worden omgezet in het geldige privé-IP-adres van de FHIR-server. Wanneer VNet-peering is geconfigureerd, is een mogelijke reden dat het tweede gekoppelde VNet niet is toegevoegd aan de DNS-zone van de privékoppeling. Als gevolg hiervan ziet u de HTTP-fout 403, 'Toegang tot xxx is geweigerd', bij het openen van het /metadata-eindpunt van de FHIR-server.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Zie Verbindingsproblemen met Azure Private Link oplossen voor meer informatie.

Volgende stappen

In dit artikel hebt u geleerd hoe u de private link en VNet-peering configureert. U hebt ook geleerd hoe u problemen met de private link- en VNet-configuraties oplost.

Raadpleeg het volgende op basis van de installatie van uw private link en voor meer informatie over het registreren van uw toepassingen.

Notitie

FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.