Настройка приватного канала

Приватный канал позволяет получить доступ к API Azure для FHIR через частную конечную точку, которая представляет собой сетевой интерфейс, который подключает вас приватно и безопасно с помощью частного IP-адреса из виртуальной сети. Приватный канал обеспечивает безопасный доступ к нашим службам из виртуальной сети в качестве службы первой стороны без использования общедоступной системы доменных имен (DNS). В этой статье описывается, как создавать, тестировать и администрировать частную конечную точку для Azure API для FHIR.

Примечание

После включения Приватный канал нельзя переместить ни Приватный канал, ни API Azure для FHIR из одной группы ресурсов или подписки в другую. Чтобы выполнить перемещение, сначала удалите Приватный канал, а затем переместите Azure API для FHIR. После завершения перемещения создайте новую Приватный канал. Оцените потенциальные последствия безопасности перед удалением Приватный канал.

Если для Azure API для FHIR включен экспорт журналов аудита и метрик, обновите параметр экспорта с помощью параметров диагностики на портале.

Предварительные требования

Перед созданием частной конечной точки необходимо сначала создать некоторые ресурсы Azure:

• Группа ресурсов — группа ресурсов Azure, которая будет содержать виртуальную сеть и частную конечную точку.
• Azure API для FHIR — ресурс FHIR, который вы хотите разместить за частной конечной точкой.
• виртуальная сеть — виртуальная сеть, к которой будут подключены клиентские службы и частная конечная точка.

Дополнительные сведения см. в документации по Приватный канал.

Создание частной конечной точки

Чтобы создать частную конечную точку, разработчик с разрешениями управления доступом на основе ролей (RBAC) для ресурса FHIR может использовать портал Azure, Azure PowerShell или Azure CLI. В этой статье описано, как использовать портал Azure. Рекомендуется использовать портал Azure, так как он автоматизирует создание и настройку зоны Частная зона DNS. Дополнительные сведения см. в Приватный канал кратких руководствах по началу работы.

Существует два способа создания частной конечной точки. Поток автоматического утверждения позволяет пользователю с разрешениями RBAC на ресурс FHIR создать частную конечную точку без необходимости утверждения. Поток утверждения вручную позволяет пользователю без разрешений на ресурс FHIR запрашивать частную конечную точку, утвержденную владельцами ресурса FHIR.

Примечание

При создании утвержденной частной конечной точки для Azure API для FHIR общедоступный трафик к ней автоматически отключается.

Автоматическое утверждение

Убедитесь, что регион для новой частной конечной точки совпадает с регионом для виртуальной сети. Регион для ресурса FHIR может отличаться.

Для типа ресурса найдите и выберите Microsoft.HealthcareApis/services. Для ресурса выберите ресурс FHIR. Для целевого подресурса выберите FHIR.

Если у вас не настроена существующая зона Частная зона DNS, выберите (Создать)privatelink.azurehealthcareapis.com. Если у вас уже настроена зона Частная зона DNS, ее можно выбрать из списка. Он должен быть в формате privatelink.azurehealthcareapis.com.

После завершения развертывания можно вернуться на вкладку Подключения к частной конечной точке , на которой вы увидите состояние подключения Утверждено .

Утверждение вручную

Для утверждения вручную выберите второй вариант в разделе Ресурс — "Подключение к ресурсу Azure по идентификатору ресурса или псевдониму". В поле Целевой подресурс введите fhir, как в разделе Автоматическое утверждение.

После завершения развертывания можно вернуться на вкладку "Подключения к частной конечной точке", на которой можно утвердить, отклонить или удалить подключение.

Пиринг виртуальных сетей

После настройки Приватный канал вы можете получить доступ к серверу FHIR в той же виртуальной сети или другой виртуальной сети, которая подключена к виртуальной сети для сервера FHIR. Выполните следующие действия, чтобы настроить пиринг виртуальных сетей и Приватный канал конфигурации зоны DNS.

Настройка пиринга виртуальных сетей

Пиринг виртуальных сетей можно настроить на портале или с помощью PowerShell, скриптов CLI и шаблона Azure Resource Manager (ARM). Вторая виртуальная сеть может находиться в одной или разных подписках, а также в одном или разных регионах. Убедитесь, что вы предоставили роль участника сети . Дополнительные сведения о пиринге виртуальных сетей см. в статье Создание пиринга между виртуальными сетями.

Добавление ссылки на виртуальную сеть в зону приватного канала

В портал Azure выберите группу ресурсов сервера FHIR. Выберите и откройте зону Частная зона DNS privatelink.azurehealthcareapis.com. Выберите Ссылки на виртуальную сеть в разделе параметров . Нажмите кнопку Добавить , чтобы добавить вторую виртуальную сеть в частную зону DNS. Введите имя выбранной ссылки, выберите подписку и виртуальную сеть, которую вы создали. При необходимости можно ввести идентификатор ресурса для второй виртуальной сети. Выберите Включить автоматическую регистрацию, чтобы автоматически добавить запись DNS для виртуальной машины, подключенной ко второй виртуальной сети. При удалении ссылки на виртуальную сеть также удаляется запись DNS для виртуальной машины.

Дополнительные сведения о том, как зона DNS приватного канала разрешает IP-адрес частной конечной точки в полное доменное имя (FQDN) ресурса, например сервера FHIR, см. в статье Конфигурация DNS частной конечной точки Azure.

При необходимости можно добавить дополнительные ссылки на виртуальную сеть и просмотреть все ссылки виртуальной сети, добавленные на портале.

В колонке Обзор можно просмотреть частные IP-адреса сервера FHIR и виртуальных машин, подключенных к одноранговым виртуальным сетям.

Управление частной конечной точкой

Представление

Частные конечные точки и связанный контроллер сетевого интерфейса отображаются в портал Azure из группы ресурсов, в которую они были созданы.

Удалить

Частные конечные точки можно удалить только из портал Azure в колонке Обзор или с помощью параметра Удалить на вкладке Сетевые подключения к частной конечной точке. Если выбрать удалить, частная конечная точка и связанная сетевая карта будут удалены. Если удалить все частные конечные точки для ресурса FHIR и общедоступной сети, доступ к серверу FHIR не будет выполнен.

Тестирование и устранение неполадок приватного канала и пиринга виртуальных сетей

Чтобы убедиться, что сервер FHIR не получает общедоступный трафик после отключения доступа к общедоступной сети, выберите конечную точку /metadata для сервера с компьютера. Вы должны получить 403 Forbidden.

Примечание

После обновления флага доступа к общедоступной сети может потребоваться до 5 минут, прежде чем общедоступный трафик будет заблокирован.

Создание и использование виртуальной машины

Чтобы убедиться, что частная конечная точка может отправлять трафик на сервер, выполните следующие действия.

1. Создайте виртуальную машину, подключенную к виртуальной сети и подсети, в котором настроена частная конечная точка. Чтобы убедиться, что трафик с виртуальной машины использует только частную сеть, отключите исходящий интернет-трафик с помощью правила группы безопасности сети (NSG).
2. RDP в виртуальную машину.
3. Получите доступ к конечной точке /metadata сервера FHIR из виртуальной машины. Вы должны получить оператор возможности в качестве ответа.

Использование nslookup

Для проверки подключения можно использовать средство nslookup . Если приватный канал настроен правильно, вы увидите, что URL-адрес сервера FHIR разрешается в допустимый частный IP-адрес, как показано ниже. Обратите внимание, что IP-адрес 168.63.129.16 — это виртуальный общедоступный IP-адрес, используемый в Azure. Дополнительные сведения см. в статье Что такое IP-адрес 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Если приватный канал настроен неправильно, вместо него может отображаться общедоступный IP-адрес и несколько псевдонимов, включая конечную точку диспетчера трафика. Это означает, что зона DNS приватного канала не может разрешиться в допустимый частный IP-адрес сервера FHIR. Если настроен пиринг виртуальных сетей, одна из возможных причин заключается в том, что вторая одноранговая виртуальная сеть не была добавлена в зону DNS приватного канала. В результате при попытке получить доступ к конечной точке /metadata сервера FHIR вы увидите ошибку HTTP 403 "Доступ к xxx был запрещен".

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Дополнительные сведения см. в статье Устранение неполадок с подключением Приватный канал Azure.

Дальнейшие действия

Из этой статьи вы узнали, как настроить приватный канал и пиринг виртуальных сетей. Вы также узнали, как устранять неполадки с приватным каналом и конфигурациями виртуальной сети.

На основе настройки приватного канала и дополнительные сведения о регистрации приложений см. в разделе

• Регистрация приложения-ресурса
• Регистрация конфиденциального клиентского приложения
• Регистрация общедоступного клиентского приложения
• Регистрация приложения-службы

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешения HL7.