Настройка Приватный канал для служб Azure Health Data Services

  • Статья

Приватный канал позволяет получить доступ к службам Azure Health Data Services через частную конечную точку. Приватный канал — это сетевой интерфейс, который подключает вас в частном порядке и безопасно с помощью частного IP-адреса из виртуальной сети. С помощью Приватный канал вы можете безопасно получать доступ к нашим службам из виртуальной сети в качестве первой службы без использования общедоступной системы доменных имен (DNS). В этой статье описывается, как создавать, тестировать и администрировать частную конечную точку для служб azure Health Data Services.

Примечание

После включения Приватный канал нельзя переместить ни Приватный канал, ни службы azure Health Data Services из одной группы ресурсов или подписки в другую. Чтобы выполнить перемещение, сначала удалите Приватный канал, а затем переместите службы azure Health Data Services. Создайте новый Приватный канал после завершения перемещения. Затем оцените потенциальные последствия безопасности перед удалением Приватный канал.

Если вы экспортируете включенные журналы аудита и метрики, обновите параметр экспорта с помощью параметров диагностики на портале.

Предварительные требования

Перед созданием частной конечной точки необходимо сначала создать следующие ресурсы Azure:

  • Группа ресурсов — группа ресурсов Azure, которая будет содержать виртуальную сеть и частную конечную точку.
  • Рабочая область — это логический контейнер для экземпляров служб FHIR и DICOM.
  • виртуальная сеть — виртуальная сеть, к которой будут подключены клиентские службы и частная конечная точка.

Дополнительные сведения см. в документации по Приватный канал.

Создание частной конечной точки

Чтобы создать частную конечную точку, пользователь с разрешениями управления доступом на основе ролей (RBAC) в рабочей области или группе ресурсов, в которой находится рабочая область, может использовать портал Azure. Рекомендуется использовать портал Azure, так как он автоматизирует создание и настройку зоны Частная зона DNS. Дополнительные сведения см. в Приватный канал кратких руководствах по началу работы.

Приватный канал настраивается на уровне рабочей области и автоматически настраивается для всех служб FHIR и DICOM в рабочей области.

Существует два способа создания частной конечной точки. Поток автоматического утверждения позволяет пользователю с разрешениями RBAC в рабочей области создать частную конечную точку без необходимости утверждения. Поток утверждения вручную позволяет пользователю без разрешений в рабочей области запрашивать частную конечную точку, утвержденную владельцами рабочей области или группы ресурсов.

Примечание

При создании утвержденной частной конечной точки для служб Azure Health Data Services общедоступный трафик к ней автоматически отключается.

Автоматическое утверждение

Убедитесь, что регион для новой частной конечной точки совпадает с регионом для виртуальной сети. Регион рабочей области может отличаться.

Изображение экрана вкладки

Для типа ресурса найдите и выберите Microsoft.HealthcareApis/workspaces в раскрывающемся списке. Для ресурса выберите рабочую область в группе ресурсов. Целевой подресурс, healthcareworkspace, заполняется автоматически.

Изображение экрана вкладки

Утверждение вручную

Для утверждения вручную выберите второй вариант в разделе Ресурс — Подключение к ресурсу Azure по идентификатору ресурса или псевдониму. В качестве идентификатора ресурса введите subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. В поле Целевой подресурс введите healthcareworkspace , как в разделе Автоутвершение.

Изображение экрана с вкладкой

После завершения развертывания выберите ресурс Приватный канал в группе ресурсов. Откройте конфигурацию DNS в меню параметров. Вы можете найти записи DNS и частные IP-адреса для рабочей области, а также службы FHIR и DICOM.

Изображение экрана портал Azure конфигурации DNS.

После завершения развертывания перейдите к новой группе ресурсов, созданной в рамках развертывания. Вы увидите две частные записи зоны DNS и по одной для каждой службы. Если в рабочей области есть дополнительные службы FHIR и DICOM, для них будут созданы дополнительные записи зоны DNS.

Изображение экрана Приватный канал сопоставления FHIR.

Выберите Каналы виртуальной сети в разделе Параметры. Вы заметите, что служба FHIR связана с виртуальной сетью.

Изображение экрана Приватный канал VNet Link FHIR.

Аналогичным образом можно увидеть сопоставление приватного канала для службы DICOM.

Изображение экрана Приватный канал сопоставления DICOM.

Кроме того, вы увидите, что служба DICOM связана с виртуальной сетью.

Изображение экрана DICOM канала Приватный канал виртуальной сети

Тестирование частной конечной точки

Чтобы убедиться, что служба не получает общедоступный трафик после отключения доступа к общедоступной сети, выберите /metadata конечную точку службы FHIR или конечную точку /health/проверка службы DICOM, и вы получите сообщение 403 Запрещено.

Примечание

После обновления флага доступа к общедоступной сети может потребоваться до 5 минут, прежде чем общедоступный трафик будет заблокирован.

Важно!

Каждый раз, когда новая служба добавляется в рабочую область с поддержкой Приватный канал, дождитесь завершения подготовки. Обновите частную конечную точку, если записи DNS A не обновляются для только что добавленных служб в рабочей области. Если записи DNS A не обновляются в частной зоне DNS, запросы к добавленным службам не будут выполняться Приватный канал.

Чтобы убедиться, что частная конечная точка может отправлять трафик на сервер, выполните следующие действия.

  1. Создайте виртуальную машину, подключенную к виртуальной сети и подсети, в котором настроена частная конечная точка. Чтобы убедиться, что трафик с виртуальной машины использует только частную сеть, отключите исходящий интернет-трафик с помощью правила группы безопасности сети (NSG).
  2. Протоколы удаленного рабочего стола (RDP) в виртуальной машине.
  3. Получите доступ к конечной точке /metadata сервера FHIR из виртуальной машины. Вы должны получить оператор возможности в качестве ответа.

Дальнейшие действия

Из этой статьи вы узнали, как настроить Приватный канал для служб azure Health Data Services. Приватный канал настраивается на уровне рабочей области, и все подресурсы, такие как службы FHIR и службы DICOM с рабочей областью, связаны с Приватный канал и виртуальной сетью. Дополнительные сведения о службах azure Health Data Services см. в статье.

Общие сведения о службах azure Health Data Services

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешения HL7.