Configurar link privado

O link privado permite que você acesse a API do Azure para FHIR em um ponto de extremidade privado, que é um adaptador de rede que conecta você de forma privada e segura usando um endereço IP privado de sua rede virtual. Com o link privado, você pode acessar nossos serviços com segurança em sua VNet como um serviço de primeira parte sem precisar passar por um DNS (Sistema de Nomes de Domínio) público. Este artigo descreve como criar, testar e gerenciar seu ponto de extremidade privado para a API do Azure para FHIR.

Observação

Nem Link Privado nem a API do Azure para FHIR podem ser movidas de um grupo de recursos ou de uma assinatura para outra depois que Link Privado estiver habilitada. Para fazer uma movimentação, exclua o Link Privado primeiro e mova a API do Azure para FHIR. Crie uma nova Link Privado depois que a movimentação for concluída. Avalie possíveis ramificações de segurança antes de excluir Link Privado.

Se a exportação de logs e métricas de auditoria estiver habilitada para a API do Azure para FHIR, atualize a configuração de exportação por meio das Configurações de Diagnóstico do portal.

Pré-requisitos

Antes de criar um ponto de extremidade privado, há alguns recursos do Azure que você precisará criar primeiro:

• Grupo de Recursos – o grupo de recursos do Azure que conterá a rede virtual e o ponto de extremidade privado.
• API do Azure para FHIR – o recurso FHIR que você gostaria de colocar atrás de um ponto de extremidade privado.
• Rede Virtual – A VNet à qual os serviços cliente e o ponto de extremidade privado serão conectados.

Para obter mais informações, consulte Documentação do Link Privado.

Criar um ponto de extremidade privado

Para criar um ponto de extremidade privado, um desenvolvedor com permissões RBAC (controle de acesso baseado em função) no recurso FHIR pode usar o portal do Azure, Azure PowerShell ou a CLI do Azure. Este artigo orientará você pelas etapas sobre como usar portal do Azure. O uso do portal do Azure é recomendado, pois automatiza a criação e a configuração da Zona DNS privado. Para obter mais informações, consulte guias de início rápido Link Privado.

Há duas maneiras de criar um ponto de extremidade privado. O fluxo de Aprovação Automática permite que um usuário que tenha permissões RBAC no recurso FHIR crie um ponto de extremidade privado sem a necessidade de aprovação. O fluxo de Aprovação Manual permite que um usuário sem permissões no recurso FHIR solicite que um ponto de extremidade privado seja aprovado pelos proprietários do recurso FHIR.

Observação

Quando um ponto de extremidade privado aprovado é criado para a API do Azure para FHIR, o tráfego público para ele é desabilitado automaticamente.

Aprovação automática

Verifique se a região do novo ponto de extremidade privado é a mesma que a região da rede virtual. A região do recurso FHIR pode ser diferente.

Para o tipo de recurso, pesquise e selecione Microsoft.HealthcareApis/services. Para o recurso, selecione o recurso FHIR. Para o sub-recurso de destino, selecione FHIR.

Se você não tiver uma zona de DNS privado existente configurada, selecione (Novo)privatelink.azurehealthcareapis.com. Se você já tiver sua zona de DNS privado configurada, poderá selecioná-la na lista. Ele deve estar no formato de privatelink.azurehealthcareapis.com.

Depois que a implantação for concluída, você poderá voltar para a guia Conexões de ponto de extremidade privado da qual você observará Aprovado como o estado de conexão.

Aprovação Manual

Para aprovação manual, selecione a segunda opção em Recurso, "Conectar-se a um recurso do Azure por ID de recurso ou alias". Para Sub-recurso de destino, insira "fhir" como em Aprovação Automática.

Depois que a implantação for concluída, você poderá voltar para a guia "Conexões de ponto de extremidade privado", na qual poderá Aprovar, Rejeitar ou Remover sua conexão.

Emparelhamento de VNet

Com Link Privado configurado, você pode acessar o servidor FHIR na mesma VNet ou em uma VNet diferente emparelhada com a VNet do servidor FHIR. Siga as etapas abaixo para configurar o emparelhamento VNet e Link Privado configuração de zona DNS.

Configurar o emparelhamento de VNet

Você pode configurar o emparelhamento VNet no portal ou usando o PowerShell, os scripts da CLI e o modelo do ARM (Azure Resource Manager). A segunda VNet pode estar nas mesmas assinaturas ou em assinaturas diferentes e nas mesmas regiões ou em regiões diferentes. Certifique-se de conceder a função colaborador de rede . Para obter mais informações sobre emparelhamento de VNet, consulte Criar um emparelhamento de rede virtual.

Adicionar link de VNet à zona de link privado

No portal do Azure, selecione o grupo de recursos do servidor FHIR. Selecione e abra a zona DNS privado, privatelink.azurehealthcareapis.com. Selecione Links de rede virtual na seção configurações . Selecione o botão Adicionar para adicionar sua segunda VNet à zona DNS privada. Insira o nome do link de sua escolha, selecione a assinatura e a VNet que você criou. Opcionalmente, você pode inserir a ID do recurso para a segunda VNet. Selecione Habilitar registro automático, que adiciona automaticamente um registro DNS para sua VM conectada à segunda VNet. Quando você exclui um link de VNet, o registro DNS da VM também é excluído.

Para obter mais informações sobre como a zona DNS de link privado resolve o endereço IP do ponto de extremidade privado para o FQDN (nome de domínio totalmente qualificado) do recurso, como o servidor FHIR, consulte Configuração de DNS do ponto de extremidade privado do Azure.

Você pode adicionar mais links de VNet, se necessário, e exibir todos os links de VNet adicionados no portal.

Na folha Visão geral, você pode exibir os endereços IP privados do servidor FHIR e as VMs conectadas a redes virtuais emparelhadas.

Gerenciar o ponto de extremidade privado

Visualizar

Os pontos de extremidade privados e o NIC (controlador de interface de rede) associado são visíveis em portal do Azure do grupo de recursos no qual foram criados.

Excluir

Os pontos de extremidade privados só podem ser excluídos do portal do Azure da folha Visão geral ou selecionando a opção Remover na guia Conexões de ponto de extremidade privado de rede. Selecionar Remover excluirá o ponto de extremidade privado e a NIC associada. Se você excluir todos os pontos de extremidade privados para o recurso FHIR e a rede pública, o acesso será desabilitado e nenhuma solicitação chegará ao servidor FHIR.

Testar e solucionar problemas de emparelhamento de VNet e link privado

Para garantir que o servidor FHIR não esteja recebendo tráfego público depois de desabilitar o acesso à rede pública, selecione o ponto de extremidade /metadata do servidor no computador. Você deve receber um 403 Proibido.

Observação

Pode levar até 5 minutos depois de atualizar o sinalizador de acesso à rede pública antes que o tráfego público seja bloqueado.

Criar e usar uma VM

Para garantir que seu ponto de extremidade privado possa enviar tráfego para o servidor:

1. Crie uma VM (máquina virtual) conectada à rede virtual e a sub-rede em que o ponto de extremidade privado está configurado. Para garantir que o tráfego da VM esteja usando apenas a rede privada, desabilite o tráfego de internet de saída usando a regra NSG (grupo de segurança de rede).
2. RDP na VM.
3. Acesse o ponto de extremidade /metadata do servidor FHIR da VM. Você deve receber a instrução capability como uma resposta.

Usar nslookup

Você pode usar a ferramenta nslookup para verificar a conectividade. Se o link privado estiver configurado corretamente, você deverá ver a URL do servidor FHIR resolvida para o endereço IP privado válido, conforme mostrado abaixo. Observe que o endereço IP 168.63.129.16 é um endereço IP público virtual usado no Azure. Para obter mais informações, consulte O que é o endereço IP 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Se o link privado não estiver configurado corretamente, você poderá ver o endereço IP público e alguns aliases, incluindo o ponto de extremidade do Gerenciador de Tráfego. Isso indica que a zona DNS do link privado não pode ser resolvida para o endereço IP privado válido do servidor FHIR. Quando o emparelhamento VNet está configurado, um motivo possível é que a segunda VNet emparelhada não foi adicionada à zona DNS de link privado. Como resultado, você verá o erro HTTP 403, "Acesso ao xxx foi negado", ao tentar acessar o ponto de extremidade /metadata do servidor FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Para obter mais informações, consulte Solucionar problemas de conectividade Link Privado do Azure.

Próximas etapas

Neste artigo, você aprendeu a configurar o link privado e o emparelhamento VNet. Você também aprendeu a solucionar problemas do link privado e das configurações de VNet.

Com base na configuração do link privado e para obter mais informações sobre como registrar seus aplicativos, consulte

• Registrar um aplicativo de recurso
• Registrar um aplicativo cliente confidencial
• Registrar um aplicativo cliente público
• Registrar um aplicativo de serviço

FHIR® é uma marca registrada da HL7 e é usado com a permissão da HL7.