Private Link configureren voor Azure Health Data Services
Met Private Link hebt u toegang tot Azure Health Data Services via een privé-eindpunt. Private Link is een netwerkinterface die u privé en veilig verbindt met behulp van een privé-IP-adres van uw virtuele netwerk. Met Private Link hebt u veilig toegang tot onze services vanuit uw virtuele netwerk als een service van een eerste partij zonder dat u een openbaar Domain Name System (DNS) hoeft te doorlopen. In dit artikel wordt beschreven hoe u uw privé-eindpunt voor Azure Health Data Services maakt, test en beheert.
Notitie
Private Link of Azure Health Data Services kunnen niet worden verplaatst van de ene resourcegroep of het ene naar het andere zodra Private Link is ingeschakeld. Als u een verplaatsing wilt maken, verwijdert u eerst de Private Link en verplaatst u vervolgens Azure Health Data Services. Maak een nieuwe Private Link nadat de verplaatsing is voltooid. Evalueer vervolgens mogelijke gevolgen voor beveiliging voordat u de Private Link verwijdert.
Als u auditlogboeken en metrische gegevens exporteert die zijn ingeschakeld, werkt u de exportinstelling bij via diagnostische Instellingen vanuit de portal.
Vereisten
Voordat u een privé-eindpunt maakt, moeten de volgende Azure-resources eerst worden gemaakt:
- Resourcegroep : de Azure-resourcegroep die het virtuele netwerk en het privé-eindpunt bevat.
- Werkruimte : de logische container voor FHIR®- en DICOM-service-exemplaren®.
- Virtueel netwerk : het virtuele netwerk waarmee uw clientservices en privé-eindpunt zijn verbonden.
Zie de documentatie van Private Link voor meer informatie.
Privé-eindpunt maken
Als u een privé-eindpunt wilt maken, kan een gebruiker met RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) voor de werkruimte of de resourcegroep waar de werkruimte zich bevindt, azure Portal gebruiken. Het gebruik van Azure Portal wordt aanbevolen wanneer het maken en configureren van de Privé-DNS-zone wordt geautomatiseerd. Zie Snelstartgidsen voor Private Link voor meer informatie.
Private Link wordt geconfigureerd op werkruimteniveau en wordt automatisch geconfigureerd voor alle FHIR- en DICOM-services binnen de werkruimte.
Er zijn twee manieren om een privé-eindpunt te maken. Met automatische goedkeuringsstroom kan een gebruiker met RBAC-machtigingen voor de werkruimte een privé-eindpunt maken zonder goedkeuring. Met handmatige goedkeuringsstroom kan een gebruiker zonder machtigingen voor de werkruimte aanvragen dat eigenaren van de werkruimte of resourcegroep het privé-eindpunt goedkeuren.
Notitie
Wanneer een goedgekeurd privé-eindpunt wordt gemaakt voor Azure Health Data Services, wordt openbaar verkeer naar het eindpunt automatisch uitgeschakeld.
Automatische goedkeuring
Zorg ervoor dat de regio voor het nieuwe privé-eindpunt hetzelfde is als de regio voor uw virtuele netwerk. De regio voor de werkruimte kan verschillen.
Zoek en selecteer Microsoft.HealthcareApis/werkruimten in de vervolgkeuzelijst voor het resourcetype. Selecteer voor de resource de werkruimte in de resourcegroep. De doelsubresource, healthcareworkspace, wordt automatisch ingevuld.
Handmatige goedkeuring
Voor handmatige goedkeuring selecteert u de tweede optie onder Resource, Verbinding maken naar een Azure-resource op resource-id of alias. Voer voor de resource-id abonnementen/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename} in. Voer voor de doelsubresource healthcareworkspace in zoals in Automatisch goedkeuren.
DNS-configuratie van Private Link
Nadat de implementatie is voltooid, selecteert u de Private Link-resource in de resourcegroep. Open de DNS-configuratie in het instellingenmenu. U vindt de DNS-records en privé-IP-adressen voor de werkruimte en FHIR- en DICOM-services.
Private Link-toewijzing
Nadat de implementatie is voltooid, bladert u naar de nieuwe resourcegroep die is gemaakt als onderdeel van de implementatie. U ziet twee privé-DNS-zonerecords en één voor elke service. Als u meer FHIR- en DICOM-services in de werkruimte hebt, worden er meer DNS-zonerecords voor deze records gemaakt.
Selecteer Virtuele netwerkkoppelingen in de Instellingen. U ziet dat de FHIR-service is gekoppeld aan het virtuele netwerk.
Op dezelfde manier ziet u de toewijzing van de private link voor de DICOM-service.
U kunt ook zien dat de DICOM-service is gekoppeld aan het virtuele netwerk.
Privé-eindpunt testen
Als u wilt controleren of uw service geen openbaar verkeer ontvangt nadat u openbare netwerktoegang hebt uitgeschakeld, selecteert u het /metadata eindpunt voor uw FHIR-service of het eindpunt /status/controle van de DICOM-service en ontvangt u het bericht 403 Verboden.
Het kan tot 5 minuten duren voordat het openbare netwerktoegangsvlag is bijgewerkt voordat openbaar verkeer wordt geblokkeerd.
Belangrijk
Telkens wanneer een nieuwe service wordt toegevoegd aan de werkruimte waarvoor Private Link is ingeschakeld, wacht u totdat de inrichting is voltooid. Vernieuw het privé-eindpunt als DNS A-records niet worden bijgewerkt voor de zojuist toegevoegde service(s) in de werkruimte. Als DNS A-records niet worden bijgewerkt in uw privé-DNS-zone, worden aanvragen voor een nieuw toegevoegde service(s) niet via Private Link verzonden.
Om ervoor te zorgen dat uw privé-eindpunt verkeer naar uw server kan verzenden:
- Maak een virtuele machine (VM) die is verbonden met het virtuele netwerk en subnet waarop uw privé-eindpunt is geconfigureerd. Schakel het uitgaande internetverkeer uit met behulp van de netwerkbeveiligingsgroepregel (NSG) om ervoor te zorgen dat uw verkeer van de virtuele machine alleen gebruikmaakt van het privénetwerk.
- RdP (Remote Desktop Protocols) in de VIRTUELE machine.
- Toegang tot het eindpunt van
/metadatauw FHIR-server vanaf de VIRTUELE machine. U moet de mogelijkheidsinstructie als antwoord ontvangen.