Konfigurowanie Private Link dla usług Azure Health Data Services

  • Artykuł

Private Link umożliwia dostęp do usług Azure Health Data Services za pośrednictwem prywatnego punktu końcowego. Private Link to interfejs sieciowy, który łączy Cię prywatnie i bezpiecznie przy użyciu prywatnego adresu IP z sieci wirtualnej. Dzięki Private Link można bezpiecznie uzyskiwać dostęp do naszych usług z sieci wirtualnej jako usługi pierwszej firmy bez konieczności korzystania z publicznego systemu nazw domen (DNS). W tym artykule opisano sposób tworzenia, testowania i zarządzania prywatnym punktem końcowym dla usług Azure Health Data Services.

Uwaga

Ani Private Link, ani usługi Azure Health Data Services nie można przenosić z jednej grupy zasobów lub subskrypcji do innej po włączeniu Private Link. Aby przenieść, najpierw usuń Private Link, a następnie przenieś usługi Azure Health Data Services. Utwórz nową Private Link po zakończeniu przenoszenia. Następnie należy ocenić potencjalne konsekwencje zabezpieczeń przed usunięciem Private Link.

Jeśli eksportujesz dzienniki inspekcji i metryki, które są włączone, zaktualizuj ustawienie eksportu za pomocą ustawień diagnostycznych z portalu.

Wymagania wstępne

Przed utworzeniem prywatnego punktu końcowego należy najpierw utworzyć następujące zasoby platformy Azure:

  • Grupa zasobów — grupa zasobów platformy Azure, która będzie zawierać sieć wirtualną i prywatny punkt końcowy.
  • Obszar roboczy — jest to logiczny kontener dla wystąpień usług FHIR i DICOM.
  • Virtual Network — sieć wirtualna, z którą będą połączone usługi klienckie i prywatny punkt końcowy.

Aby uzyskać więcej informacji, zobacz dokumentację Private Link.

Tworzenie prywatnego punktu końcowego

Aby utworzyć prywatny punkt końcowy, użytkownik z uprawnieniami kontroli dostępu opartej na rolach (RBAC) w obszarze roboczym lub grupie zasobów, w której znajduje się obszar roboczy, może używać Azure Portal. Użycie Azure Portal jest zalecane, ponieważ automatyzuje tworzenie i konfigurację strefy Prywatna strefa DNS. Aby uzyskać więcej informacji, zobacz przewodniki szybki start Private Link.

Link prywatny jest konfigurowany na poziomie obszaru roboczego i jest automatycznie konfigurowany dla wszystkich usług FHIR i DICOM w obszarze roboczym.

Istnieją dwa sposoby tworzenia prywatnego punktu końcowego. Przepływ automatycznego zatwierdzania umożliwia użytkownikowi z uprawnieniami RBAC w obszarze roboczym tworzenie prywatnego punktu końcowego bez konieczności zatwierdzania. Przepływ zatwierdzania ręcznego umożliwia użytkownikowi bez uprawnień do obszaru roboczego żądanie zatwierdzenia prywatnego punktu końcowego przez właścicieli obszaru roboczego lub grupy zasobów.

Uwaga

Po utworzeniu zatwierdzonego prywatnego punktu końcowego dla usług Azure Health Data Services ruch publiczny do niego jest automatycznie wyłączony.

Automatyczne zatwierdzanie

Upewnij się, że region nowego prywatnego punktu końcowego jest taki sam jak region sieci wirtualnej. Region obszaru roboczego może być inny.

Obraz ekranu przedstawiający kartę Podstawy Azure Portal.

Dla typu zasobu wyszukaj i wybierz pozycję Microsoft.HealthcareApis/workspaces z listy rozwijanej. Dla zasobu wybierz obszar roboczy w grupie zasobów. Docelowa podźródło , healthcareworkspace, jest wypełniana automatycznie.

Obraz ekranu przedstawiający kartę Azure Portal Zasób.

Zatwierdzanie ręczne

W przypadku ręcznego zatwierdzania wybierz drugą opcję w obszarze Zasób, Połącz się z zasobem platformy Azure według identyfikatora zasobu lub aliasu. W polu identyfikator zasobu wprowadź ciąg subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. W polu Docelowy podźródło wprowadź przestrzeń opieki zdrowotnej , tak jak w obszarze Automatyczne zatwierdzanie.

Obraz ekranu przedstawiający kartę Zasoby zatwierdzania ręcznego.

Po zakończeniu wdrażania wybierz zasób Private Link w grupie zasobów. Otwórz konfigurację DNS z menu ustawień. Rekordy DNS i prywatne adresy IP dla obszaru roboczego oraz usługi FHIR i DICOM.

Obraz ekranu przedstawiający konfigurację Azure Portal DNS.

Po zakończeniu wdrażania przejdź do nowej grupy zasobów utworzonej w ramach wdrożenia. Zobaczysz dwa prywatne rekordy strefy DNS i jeden dla każdej usługi. Jeśli masz więcej usług FHIR i DICOM w obszarze roboczym, zostaną utworzone dodatkowe rekordy strefy DNS.

Obraz ekranu przedstawiający mapowanie Private Link FHIR.

Wybierz pozycję Łącza sieci wirtualnej w obszarze Ustawienia. Zauważysz, że usługa FHIR jest połączona z siecią wirtualną.

Obraz ekranu przedstawiający Private Link VNet Link FHIR.

Podobnie można zobaczyć mapowanie linków prywatnych dla usługi DICOM.

Obraz ekranu przedstawiający mapowanie Private Link DICOM.

Ponadto można zobaczyć, że usługa DICOM jest połączona z siecią wirtualną.

Obraz ekranu przedstawiający diCOM łącza sieci wirtualnej Private Link

Testowanie prywatnego punktu końcowego

Aby sprawdzić, czy usługa nie odbiera ruchu publicznego po wyłączeniu dostępu do sieci publicznej, wybierz /metadata punkt końcowy usługi FHIR lub punkt końcowy /health/check usługi DICOM i otrzymasz komunikat 403 Zabronione.

Uwaga

Po zaktualizowaniu flagi dostępu do sieci publicznej może upłynąć do 5 minut, zanim ruch publiczny zostanie zablokowany.

Ważne

Za każdym razem, gdy nowa usługa zostanie dodana do obszaru roboczego z włączoną Private Link, zaczekaj na ukończenie aprowizacji. Odśwież prywatny punkt końcowy, jeśli rekordy DNS A nie są aktualizowane dla nowo dodanych usług w obszarze roboczym. Jeśli rekordy DNS A nie są aktualizowane w prywatnej strefie DNS, żądania do nowo dodanych usług nie zostaną zastąpione Private Link.

Aby upewnić się, że prywatny punkt końcowy może wysyłać ruch do serwera:

  1. Utwórz maszynę wirtualną połączoną z siecią wirtualną i podsieć skonfigurowaną przez prywatny punkt końcowy. Aby upewnić się, że ruch z maszyny wirtualnej korzysta tylko z sieci prywatnej, wyłącz wychodzący ruch internetowy przy użyciu reguły sieciowej grupy zabezpieczeń.
  2. Protokoły pulpitu zdalnego (RDP) do maszyny wirtualnej.
  3. Uzyskaj dostęp do punktu końcowego /metadata serwera FHIR z maszyny wirtualnej. Powinna zostać wyświetlona instrukcja capability jako odpowiedź.

Następne kroki

W tym artykule przedstawiono sposób konfigurowania Private Link dla usług Azure Health Data Services. Private Link jest konfigurowany na poziomie obszaru roboczego, a wszystkie podźródła, takie jak usługi FHIR i usługi DICOM z obszarem roboczym, są połączone z Private Link i siecią wirtualną. Aby uzyskać więcej informacji na temat usług Azure Health Data Services, zobacz

Omówienie usług Azure Health Data Services

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7 .