Konfigurowanie usługi Private Link dla usług Azure Health Data Services
Usługa Private Link umożliwia dostęp do usług Azure Health Data Services za pośrednictwem prywatnego punktu końcowego. Private Link to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie przy użyciu prywatnego adresu IP z sieci wirtualnej. Za pomocą usługi Private Link możesz bezpiecznie uzyskiwać dostęp do naszych usług z sieci wirtualnej jako usługi pierwszej firmy bez konieczności korzystania z publicznego systemu nazw domen (DNS). W tym artykule opisano sposób tworzenia, testowania i zarządzania prywatnym punktem końcowym dla usług Azure Health Data Services.
Uwaga
Po włączeniu usługi Private Link ani usługi Azure Health Data Services nie można przenosić z jednej grupy zasobów lub subskrypcji do innej. Aby przeprowadzić przeniesienie, najpierw usuń usługę Private Link, a następnie przenieś usługi Azure Health Data Services. Utwórz nowe łącze prywatne po zakończeniu przenoszenia. Następnie należy ocenić potencjalne konsekwencje zabezpieczeń przed usunięciem usługi Private Link.
Jeśli eksportujesz dzienniki inspekcji i metryki, które są włączone, zaktualizuj ustawienie eksportu za pomocą Ustawienia diagnostycznych z portalu.
Wymagania wstępne
Przed utworzeniem prywatnego punktu końcowego należy najpierw utworzyć następujące zasoby platformy Azure:
- Grupa zasobów — grupa zasobów platformy Azure zawierająca sieć wirtualną i prywatny punkt końcowy.
- Workspace — kontener logiczny dla wystąpień usług FHIR® i DICOM®.
- Sieć wirtualna — sieć wirtualna, z którą są połączone usługi klienckie i prywatny punkt końcowy.
Aby uzyskać więcej informacji, zobacz Dokumentację usługi Private Link.
Tworzenie prywatnego punktu końcowego
Aby utworzyć prywatny punkt końcowy, użytkownik z uprawnieniami kontroli dostępu opartej na rolach (RBAC) w obszarze roboczym lub grupie zasobów, w której znajduje się obszar roboczy, może korzystać z witryny Azure Portal. Korzystanie z witryny Azure Portal jest zalecane, ponieważ automatyzuje tworzenie i konfigurację strefy Prywatna strefa DNS. Aby uzyskać więcej informacji, zobacz Przewodniki Szybki start dotyczące usługi Private Link.
Łącze prywatne jest konfigurowane na poziomie obszaru roboczego i jest automatycznie konfigurowane dla wszystkich usług FHIR i DICOM w obszarze roboczym.
Istnieją dwa sposoby tworzenia prywatnego punktu końcowego. Przepływ automatycznego zatwierdzania umożliwia użytkownikowi z uprawnieniami RBAC w obszarze roboczym tworzenie prywatnego punktu końcowego bez konieczności zatwierdzania. Przepływ zatwierdzania ręcznego umożliwia użytkownikowi bez uprawnień do obszaru roboczego żądanie, aby właściciele obszaru roboczego lub grupy zasobów zatwierdzali prywatny punkt końcowy.
Uwaga
Po utworzeniu zatwierdzonego prywatnego punktu końcowego dla usług Azure Health Data Services ruch publiczny jest automatycznie wyłączony.
Automatyczne zatwierdzanie
Upewnij się, że region nowego prywatnego punktu końcowego jest taki sam jak region dla sieci wirtualnej. Region obszaru roboczego może być inny.
Dla typu zasobu wyszukaj i wybierz pozycję Microsoft.HealthcareApis/workspaces z listy rozwijanej. Dla zasobu wybierz obszar roboczy w grupie zasobów. Docelowe podźródło, healthcareworkspace, jest wypełniane automatycznie.
Zatwierdzanie ręczne
W celu ręcznego zatwierdzania wybierz drugą opcję w obszarze Zasób, Połączenie do zasobu platformy Azure według identyfikatora zasobu lub aliasu. W polu Identyfikator zasobu wprowadź ciąg subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. W polu Docelowy podźródło wprowadź wartość healthcareworkspace jako w obszarze Automatyczne zatwierdzanie.
Konfiguracja dns usługi Private Link
Po zakończeniu wdrażania wybierz zasób usługi Private Link w grupie zasobów. Otwórz konfigurację DNS z menu ustawień. Rekordy DNS i prywatne adresy IP dla obszaru roboczego oraz usługi FHIR i DICOM.
Mapowanie łącza prywatnego
Po zakończeniu wdrażania przejdź do nowej grupy zasobów utworzonej w ramach wdrożenia. Powinny zostać wyświetlone dwa prywatne rekordy strefy DNS i jeden dla każdej usługi. Jeśli masz więcej usług FHIR i DICOM w obszarze roboczym, dla nich są tworzone więcej rekordów strefy DNS.
Wybierz pozycję Łącza sieci wirtualnej z Ustawienia. Zwróć uwagę, że usługa FHIR jest połączona z siecią wirtualną.
Podobnie można zobaczyć mapowanie linków prywatnych dla usługi DICOM.
Ponadto można zobaczyć, że usługa DICOM jest połączona z siecią wirtualną.
Testowanie prywatnego punktu końcowego
Aby sprawdzić, czy usługa nie odbiera ruchu publicznego po wyłączeniu dostępu do sieci publicznej, wybierz /metadata punkt końcowy usługi FHIR lub punkt końcowy /health/check usługi DICOM i otrzymasz komunikat 403 Zabronione.
Po zaktualizowaniu flagi dostępu do sieci publicznej może upłynąć do 5 minut, zanim ruch publiczny zostanie zablokowany.
Ważne
Za każdym razem, gdy nowa usługa zostanie dodana do obszaru roboczego z obsługą usługi Private Link, poczekaj na zakończenie aprowizacji. Odśwież prywatny punkt końcowy, jeśli rekordy DNS A nie są aktualizowane dla nowo dodanych usług w obszarze roboczym. Jeśli rekordy DNS A nie są aktualizowane w prywatnej strefie DNS, żądania do nowo dodanych usług nie będą przechodzić przez usługę Private Link.
Aby upewnić się, że prywatny punkt końcowy może wysyłać ruch do serwera:
- Utwórz maszynę wirtualną połączoną z siecią wirtualną i podsiecią skonfigurowaną dla prywatnego punktu końcowego. Aby upewnić się, że ruch z maszyny wirtualnej korzysta tylko z sieci prywatnej, wyłącz wychodzący ruch internetowy przy użyciu reguły sieciowej grupy zabezpieczeń.
- Protokoły pulpitu zdalnego (RDP) do maszyny wirtualnej.
- Uzyskaj dostęp do punktu końcowego
/metadataserwera FHIR z maszyny wirtualnej. Powinna zostać wyświetlona instrukcja capability jako odpowiedź.