Delen via


Private Link configureren voor Azure Health Data Services

Met Private Link hebt u toegang tot Azure Health Data Services via een privé-eindpunt. Private Link is een netwerkinterface die u privé en veilig verbindt met behulp van een privé-IP-adres van uw virtuele netwerk. Met Private Link hebt u veilig toegang tot onze services vanuit uw virtuele netwerk als een service van een eerste partij zonder dat u een openbaar Domain Name System (DNS) hoeft te doorlopen. In dit artikel wordt beschreven hoe u uw privé-eindpunt voor Azure Health Data Services maakt, test en beheert.

Notitie

Private Link of Azure Health Data Services kunnen niet worden verplaatst van de ene resourcegroep of het ene naar het andere zodra Private Link is ingeschakeld. Als u een verplaatsing wilt maken, verwijdert u eerst de Private Link en verplaatst u vervolgens Azure Health Data Services. Maak een nieuwe Private Link nadat de verplaatsing is voltooid. Evalueer vervolgens mogelijke gevolgen voor beveiliging voordat u de Private Link verwijdert.

Als u auditlogboeken en metrische gegevens exporteert die zijn ingeschakeld, werkt u de exportinstelling bij via diagnostische Instellingen vanuit de portal.

Vereisten

Voordat u een privé-eindpunt maakt, moeten de volgende Azure-resources eerst worden gemaakt:

  • Resourcegroep : de Azure-resourcegroep die het virtuele netwerk en het privé-eindpunt bevat.
  • Werkruimte : de logische container voor FHIR®- en DICOM-service-exemplaren®.
  • Virtueel netwerk : het virtuele netwerk waarmee uw clientservices en privé-eindpunt zijn verbonden.

Zie de documentatie van Private Link voor meer informatie.

Privé-eindpunt maken

Als u een privé-eindpunt wilt maken, kan een gebruiker met RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) voor de werkruimte of de resourcegroep waar de werkruimte zich bevindt, azure Portal gebruiken. Het gebruik van Azure Portal wordt aanbevolen wanneer het maken en configureren van de Privé-DNS-zone wordt geautomatiseerd. Zie Snelstartgidsen voor Private Link voor meer informatie.

Private Link wordt geconfigureerd op werkruimteniveau en wordt automatisch geconfigureerd voor alle FHIR- en DICOM-services binnen de werkruimte.

Er zijn twee manieren om een privé-eindpunt te maken. Met automatische goedkeuringsstroom kan een gebruiker met RBAC-machtigingen voor de werkruimte een privé-eindpunt maken zonder goedkeuring. Met handmatige goedkeuringsstroom kan een gebruiker zonder machtigingen voor de werkruimte aanvragen dat eigenaren van de werkruimte of resourcegroep het privé-eindpunt goedkeuren.

Notitie

Wanneer een goedgekeurd privé-eindpunt wordt gemaakt voor Azure Health Data Services, wordt openbaar verkeer naar het eindpunt automatisch uitgeschakeld.

Automatische goedkeuring

Zorg ervoor dat de regio voor het nieuwe privé-eindpunt hetzelfde is als de regio voor uw virtuele netwerk. De regio voor de werkruimte kan verschillen.

Schermopname van de afbeelding van het tabblad Basisinformatie in Azure Portal.

Zoek en selecteer Microsoft.HealthcareApis/werkruimten in de vervolgkeuzelijst voor het resourcetype. Selecteer voor de resource de werkruimte in de resourcegroep. De doelsubresource, healthcareworkspace, wordt automatisch ingevuld.

Schermopname van de afbeelding van het tabblad Resource in Azure Portal.

Handmatige goedkeuring

Voor handmatige goedkeuring selecteert u de tweede optie onder Resource, Verbinding maken naar een Azure-resource op resource-id of alias. Voer voor de resource-id abonnementen/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename} in. Voer voor de doelsubresource healthcareworkspace in zoals in Automatisch goedkeuren.

Schermafbeelding van het tabblad Resources voor handmatige goedkeuring.

Nadat de implementatie is voltooid, selecteert u de Private Link-resource in de resourcegroep. Open de DNS-configuratie in het instellingenmenu. U vindt de DNS-records en privé-IP-adressen voor de werkruimte en FHIR- en DICOM-services.

Schermopname van de afbeelding van de DNS-configuratie van Azure Portal.

Nadat de implementatie is voltooid, bladert u naar de nieuwe resourcegroep die is gemaakt als onderdeel van de implementatie. U ziet twee privé-DNS-zonerecords en één voor elke service. Als u meer FHIR- en DICOM-services in de werkruimte hebt, worden er meer DNS-zonerecords voor deze records gemaakt.

Schermopname van de afbeelding van Private Link FHIR-toewijzing.

Selecteer Virtuele netwerkkoppelingen in de Instellingen. U ziet dat de FHIR-service is gekoppeld aan het virtuele netwerk.

Schermopname van de afbeelding van Private Link Virtual Network Link FHIR.

Op dezelfde manier ziet u de toewijzing van de private link voor de DICOM-service.

Schermopname van de afbeelding van De DICOM-toewijzing van Private Link.

U kunt ook zien dat de DICOM-service is gekoppeld aan het virtuele netwerk.

Schermopname van de afbeelding van Private Link Virtual Network Link DICOM.

Privé-eindpunt testen

Als u wilt controleren of uw service geen openbaar verkeer ontvangt nadat u openbare netwerktoegang hebt uitgeschakeld, selecteert u het /metadata eindpunt voor uw FHIR-service of het eindpunt /status/controle van de DICOM-service en ontvangt u het bericht 403 Verboden.

Het kan tot 5 minuten duren voordat het openbare netwerktoegangsvlag is bijgewerkt voordat openbaar verkeer wordt geblokkeerd.

Belangrijk

Telkens wanneer een nieuwe service wordt toegevoegd aan de werkruimte waarvoor Private Link is ingeschakeld, wacht u totdat de inrichting is voltooid. Vernieuw het privé-eindpunt als DNS A-records niet worden bijgewerkt voor de zojuist toegevoegde service(s) in de werkruimte. Als DNS A-records niet worden bijgewerkt in uw privé-DNS-zone, worden aanvragen voor een nieuw toegevoegde service(s) niet via Private Link verzonden.

Om ervoor te zorgen dat uw privé-eindpunt verkeer naar uw server kan verzenden:

  1. Maak een virtuele machine (VM) die is verbonden met het virtuele netwerk en subnet waarop uw privé-eindpunt is geconfigureerd. Schakel het uitgaande internetverkeer uit met behulp van de netwerkbeveiligingsgroepregel (NSG) om ervoor te zorgen dat uw verkeer van de virtuele machine alleen gebruikmaakt van het privénetwerk.
  2. RdP (Remote Desktop Protocols) in de VIRTUELE machine.
  3. Toegang tot het eindpunt van /metadata uw FHIR-server vanaf de VIRTUELE machine. U moet de mogelijkheidsinstructie als antwoord ontvangen.

Notitie

FHIR® is een geregistreerd handelsmerk van HL7 en wordt gebruikt met de machtiging HL7.

DICOM® is het gedeponeerde handelsmerk van de National Electrical Manufacturers Association voor haar standaardenpublicaties met betrekking tot digitale communicatie van medische informatie.