Konfigurowanie łącza prywatnego

Link prywatny umożliwia dostęp do interfejsu API platformy Azure for FHIR za pośrednictwem prywatnego punktu końcowego, który jest interfejsem sieciowym, który łączy Cię prywatnie i bezpiecznie przy użyciu prywatnego adresu IP z sieci wirtualnej. Za pomocą linku prywatnego możesz bezpiecznie uzyskać dostęp do naszych usług z sieci wirtualnej jako usługi pierwszej firmy bez konieczności korzystania z publicznego systemu nazw domen (DNS). W tym artykule opisano sposób tworzenia, testowania i zarządzania prywatnym punktem końcowym dla usługi Azure API for FHIR.

Uwaga

Nie można przenosić ani Private Link ani interfejsu API platformy Azure for FHIR z jednej grupy zasobów lub subskrypcji do innej po włączeniu Private Link. Aby przenieść, najpierw usuń Private Link, a następnie przenieś interfejs API platformy Azure for FHIR. Utwórz nowy Private Link po zakończeniu przenoszenia. Oceń potencjalne konsekwencje zabezpieczeń przed usunięciem Private Link.

Jeśli eksportowanie dzienników inspekcji i metryk jest włączone dla interfejsu API platformy Azure for FHIR, zaktualizuj ustawienie eksportu za pomocą ustawień diagnostycznych z portalu.

Wymagania wstępne

Przed utworzeniem prywatnego punktu końcowego należy najpierw utworzyć niektóre zasoby platformy Azure:

• Grupa zasobów — grupa zasobów platformy Azure, która będzie zawierać sieć wirtualną i prywatny punkt końcowy.
• Azure API for FHIR — zasób FHIR, który chcesz umieścić za prywatnym punktem końcowym.
• Virtual Network — sieć wirtualna, z którą będą połączone usługi klienckie i prywatny punkt końcowy.

Aby uzyskać więcej informacji, zobacz dokumentację Private Link.

Tworzenie prywatnego punktu końcowego

Aby utworzyć prywatny punkt końcowy, deweloper z uprawnieniami kontroli dostępu opartej na rolach (RBAC) w zasobie FHIR może używać Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Ten artykuł przeprowadzi Cię przez kroki dotyczące korzystania z Azure Portal. Użycie Azure Portal jest zalecane, ponieważ automatyzuje tworzenie i konfigurację strefy Prywatna strefa DNS. Aby uzyskać więcej informacji, zobacz przewodniki szybki start Private Link.

Istnieją dwa sposoby tworzenia prywatnego punktu końcowego. Przepływ automatycznego zatwierdzania umożliwia użytkownikowi z uprawnieniami RBAC do zasobu FHIR utworzenie prywatnego punktu końcowego bez konieczności zatwierdzania. Przepływ zatwierdzania ręcznego umożliwia użytkownikowi bez uprawnień do zasobu FHIR żądanie zatwierdzenia prywatnego punktu końcowego przez właścicieli zasobu FHIR.

Uwaga

Po utworzeniu zatwierdzonego prywatnego punktu końcowego dla usługi Azure API for FHIR ruch publiczny do niego jest automatycznie wyłączony.

Automatyczne zatwierdzanie

Upewnij się, że region nowego prywatnego punktu końcowego jest taki sam jak region sieci wirtualnej. Region zasobu FHIR może być inny.

Dla typu zasobu wyszukaj i wybierz pozycję Microsoft.HealthcareApis/services. Dla zasobu wybierz zasób FHIR. W przypadku podźródła docelowego wybierz pozycję FHIR.

Jeśli nie masz skonfigurowanej strefy Prywatna strefa DNS, wybierz pozycję (Nowy)privatelink.azurehealthcareapis.com. Jeśli masz już skonfigurowaną strefę Prywatna strefa DNS, możesz ją wybrać z listy. Musi być w formacie privatelink.azurehealthcareapis.com.

Po zakończeniu wdrażania możesz wrócić do karty Połączenia prywatnego punktu końcowego , na której zostanie wyświetlony komunikat Zatwierdzone jako stan połączenia.

Zatwierdzanie ręczne

W przypadku ręcznego zatwierdzania wybierz drugą opcję w obszarze Zasób " Połącz się z zasobem platformy Azure według identyfikatora zasobu lub aliasu". W polu Docelowy podźródło wprowadź wartość "fhir", tak jak w obszarze Automatyczne zatwierdzanie.

Po zakończeniu wdrażania możesz wrócić do karty "Połączenia prywatnego punktu końcowego", na której można zatwierdzać, odrzucać lub usuwać połączenie.

Komunikacja równorzędna sieci wirtualnych

Po skonfigurowaniu Private Link można uzyskać dostęp do serwera FHIR w tej samej sieci wirtualnej lub innej sieci wirtualnej, która jest równorzędna z siecią wirtualną serwera FHIR. Wykonaj poniższe kroki, aby skonfigurować komunikację równorzędną sieci wirtualnych i konfigurację strefy DNS Private Link.

Konfigurowanie komunikacji równorzędnej sieci wirtualnych

Komunikację równorzędną sieci wirtualnych można skonfigurować z poziomu portalu lub przy użyciu programu PowerShell, skryptów interfejsu wiersza polecenia i szablonu usługi Azure Resource Manager (ARM). Druga sieć wirtualna może znajdować się w tych samych lub różnych subskrypcjach oraz w tych samych lub różnych regionach. Upewnij się, że przyznano rolę Współautor sieci . Aby uzyskać więcej informacji na temat komunikacji równorzędnej sieci wirtualnych, zobacz Tworzenie komunikacji równorzędnej sieci wirtualnych.

Dodawanie łącza sieci wirtualnej do strefy łącza prywatnego

W Azure Portal wybierz grupę zasobów serwera FHIR. Wybierz i otwórz strefę Prywatna strefa DNS, privatelink.azurehealthcareapis.com. Wybierz pozycję Łącza sieci wirtualnej w sekcji ustawienia . Wybierz przycisk Dodaj , aby dodać drugą sieć wirtualną do prywatnej strefy DNS. Wprowadź wybraną nazwę linku, wybierz subskrypcję i utworzoną sieć wirtualną. Opcjonalnie możesz wprowadzić identyfikator zasobu dla drugiej sieci wirtualnej. Wybierz pozycję Włącz automatyczną rejestrację, która automatycznie dodaje rekord DNS dla maszyny wirtualnej połączonej z drugą siecią wirtualną. Po usunięciu linku sieci wirtualnej rekord DNS dla maszyny wirtualnej również zostanie usunięty.

Aby uzyskać więcej informacji na temat rozpoznawania adresu IP prywatnego punktu końcowego do w pełni kwalifikowanej nazwy domeny (FQDN) zasobu, takiego jak serwer FHIR, zobacz Konfiguracja dns prywatnego punktu końcowego platformy Azure.

W razie potrzeby możesz dodać więcej linków sieci wirtualnej i wyświetlić wszystkie linki sieci wirtualnej dodane z portalu.

W bloku Przegląd można wyświetlić prywatne adresy IP serwera FHIR i maszyn wirtualnych połączonych z równorzędnymi sieciami wirtualnymi.

Zarządzanie prywatnym punktem końcowym

Widok

Prywatne punkty końcowe i skojarzony kontroler interfejsu sieciowego (NIC) są widoczne w Azure Portal z grupy zasobów, w której zostały utworzone.

Usuń

Prywatne punkty końcowe można usunąć tylko z Azure Portal w bloku Przegląd lub wybierając opcję Usuń na karcie Połączenia prywatnego punktu końcowego sieci. Wybranie opcji Usuń spowoduje usunięcie prywatnego punktu końcowego i skojarzonej karty sieciowej. Jeśli usuniesz wszystkie prywatne punkty końcowe do zasobu FHIR i sieci publicznej, dostęp zostanie wyłączony i żadne żądanie nie wyśle go do serwera FHIR.

Testowanie i rozwiązywanie problemów z połączeniem prywatnym i komunikacją równorzędną sieci wirtualnych

Aby upewnić się, że serwer FHIR nie odbiera ruchu publicznego po wyłączeniu dostępu do sieci publicznej, wybierz punkt końcowy /metadata dla serwera z komputera. Powinien zostać wyświetlony komunikat 403 Zabronione.

Uwaga

Po zaktualizowaniu flagi dostępu do sieci publicznej może upłynąć do 5 minut, zanim ruch publiczny zostanie zablokowany.

Tworzenie i używanie maszyny wirtualnej

Aby upewnić się, że prywatny punkt końcowy może wysyłać ruch do serwera:

1. Utwórz maszynę wirtualną połączoną z siecią wirtualną i podsiecią skonfigurowaną przez prywatny punkt końcowy. Aby upewnić się, że ruch z maszyny wirtualnej korzysta tylko z sieci prywatnej, wyłącz wychodzący ruch internetowy przy użyciu reguły sieciowej grupy zabezpieczeń.
2. Połączenie RDP z maszyną wirtualną.
3. Uzyskaj dostęp do punktu końcowego /metadata serwera FHIR z maszyny wirtualnej. Powinna zostać wyświetlona instrukcja capability jako odpowiedź.

Korzystanie z polecenia nslookup

Aby zweryfikować łączność, możesz użyć narzędzia nslookup . Jeśli link prywatny jest poprawnie skonfigurowany, adres URL serwera FHIR powinien zostać rozpoznany jako prawidłowy prywatny adres IP, jak pokazano poniżej. Należy pamiętać, że adres IP 168.63.129.16 jest wirtualnym publicznym adresem IP używanym na platformie Azure. Aby uzyskać więcej informacji, zobacz Co to jest adres IP 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Jeśli link prywatny nie jest poprawnie skonfigurowany, może zostać wyświetlony publiczny adres IP i kilka aliasów, w tym punkt końcowy usługi Traffic Manager. Oznacza to, że strefa DNS łącza prywatnego nie może rozpoznać prawidłowego prywatnego adresu IP serwera FHIR. Po skonfigurowaniu komunikacji równorzędnej sieci wirtualnej jedną z możliwych przyczyn jest to, że druga równorzędna sieć wirtualna nie została dodana do strefy DNS łącza prywatnego. W rezultacie zobaczysz błąd HTTP 403 "Odmowa dostępu do xxx", podczas próby uzyskania dostępu do punktu końcowego /metadata serwera FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z łącznością Azure Private Link.

Następne kroki

W tym artykule przedstawiono sposób konfigurowania łącza prywatnego i komunikacji równorzędnej sieci wirtualnych. Przedstawiono również sposób rozwiązywania problemów z konfiguracją łącza prywatnego i sieci wirtualnej.

Na podstawie konfiguracji łącza prywatnego i aby uzyskać więcej informacji na temat rejestrowania aplikacji, zobacz

• Rejestrowanie aplikacji zasobów
• Rejestrowanie poufnej aplikacji klienckiej
• Rejestrowanie publicznej aplikacji klienckiej
• Rejestrowanie aplikacji usługi

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z pozwoleniem HL7.