Поделиться через


Настройка Приватный канал для служб данных Azure Health

Приватный канал позволяет получить доступ к Службам данных Работоспособности Azure через частную конечную точку. Приватный канал — это сетевой интерфейс, который подключает вас к частному и безопасному использованию частного IP-адреса из виртуальной сети. С помощью Приватный канал вы можете безопасно получить доступ к нашим службам из виртуальной сети в качестве первой службы без необходимости проходить через общедоступную систему доменных имен (DNS). В этой статье описывается создание, тестирование и управление частной конечной точкой для служб данных работоспособности Azure.

Примечание.

Ни Приватный канал, ни Службы данных Работоспособности Azure не могут быть перемещены из одной группы ресурсов или подписки на другую после включения Приватный канал. Чтобы выполнить перемещение, сначала удалите Приватный канал, а затем переместите службы данных Работоспособности Azure. Создайте новую Приватный канал после завершения перемещения. Затем оцените потенциальные последствия безопасности перед удалением Приватный канал.

Если вы экспортируете журналы аудита и метрики, которые включены, обновите параметр экспорта с помощью диагностических Параметры на портале.

Необходимые компоненты

Прежде чем создать частную конечную точку, сначала необходимо создать следующие ресурсы Azure:

  • Группа ресурсов — группа ресурсов Azure, содержащая виртуальную сеть и частную конечную точку.
  • Рабочая область — логический контейнер для экземпляров службы FHIR® и DICOM®.
  • виртуальная сеть — виртуальная сеть, к которой подключены клиентские службы и частная конечная точка.

Дополнительные сведения см. в Приватный канал документации.

Создание частной конечной точки

Чтобы создать частную конечную точку, пользователь с разрешениями управления доступом на основе ролей (RBAC) в рабочей области или группе ресурсов, в которой находится рабочая область, может использовать портал Azure. При использовании портал Azure рекомендуется автоматизировать создание и настройку зоны Частная зона DNS. Дополнительные сведения см. в Приватный канал кратких руководствах по началу работы.

Приватный канал настраивается на уровне рабочей области и автоматически настраивается для всех служб FHIR и DICOM в рабочей области.

Существует два способа создания частной конечной точки. Поток автоматического утверждения позволяет пользователю с разрешениями RBAC в рабочей области создавать частную конечную точку без необходимости утверждения. Поток утверждения вручную позволяет пользователю без разрешений в рабочей области запрашивать, чтобы владельцы рабочей области или группы ресурсов одобрили частную конечную точку.

Примечание.

При создании утвержденной частной конечной точки для служб данных Работоспособности Azure общедоступный трафик автоматически отключается.

Автоматическое утверждение

Убедитесь, что регион для новой частной конечной точки совпадает с регионом для виртуальной сети. Регион рабочей области может отличаться.

Снимок экрана: изображение вкладки портал Azure

Для типа ресурса выполните поиск и выберите Microsoft.HealthcareApis/workspaces из раскрывающегося списка. Для ресурса выберите рабочую область в группе ресурсов. Целевой подресурс, пространство здравоохранения, автоматически заполняется.

Снимок экрана: изображение вкладки

Утверждение вручную

Для утверждения вручную выберите второй параметр в разделе "Ресурс", Подключение ресурсу Azure по идентификатору ресурса или псевдониму. Для идентификатора ресурса введите подписки/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. Для целевого подресурса введите пространство здравоохранения, как в автоматическом утверждении.

Изображение экрана на вкладке

После завершения развертывания выберите ресурс Приватный канал в группе ресурсов. Откройте конфигурацию DNS из меню параметров. Записи DNS и частные IP-адреса для рабочей области, а также службы FHIR и DICOM.

Снимок экрана: изображение конфигурации ПОРТАЛ AZURE DNS.

После завершения развертывания перейдите к новой группе ресурсов, созданной в рамках развертывания. Вы должны увидеть две частные записи зоны DNS и одну для каждой службы. Если у вас есть больше служб FHIR и DICOM в рабочей области, для них создаются дополнительные записи зоны DNS.

Снимок экрана: изображение сопоставления Приватный канал FHIR.

Выберите ссылки виртуальной сети из Параметры. Обратите внимание, что служба FHIR связана с виртуальной сетью.

Снимок экрана: изображение FHIR Приватный канал виртуальной сети.

Аналогичным образом можно увидеть сопоставление приватного канала для службы DICOM.

Снимок экрана: изображение сопоставления Приватный канал DICOM.

Кроме того, можно увидеть, что служба DICOM связана с виртуальной сетью.

Снимок экрана: изображение Приватный канал канала DICOM виртуальной сети.

Проверка частной конечной точки

Чтобы убедиться, что служба не получает общедоступный трафик после отключения доступа к общедоступной сети, выберите /metadata конечную точку для службы FHIR или конечную точку /health/проверка службы DICOM, и вы получите сообщение 403 Запрещено.

Это может занять до 5 минут после обновления флага доступа к общедоступной сети до блокировки общедоступного трафика.

Внимание

Каждый раз, когда новая служба добавляется в рабочую область с поддержкой Приватный канал, дождитесь завершения подготовки. Обновите частную конечную точку, если записи DNS A не обновляются для новых добавленных служб в рабочей области. Если записи DNS A не обновляются в частной зоне DNS, запросы к недавно добавленным службам не будут выполняться Приватный канал.

Чтобы убедиться, что частная конечная точка может отправлять трафик на сервер:

  1. Создайте виртуальную машину, подключенную к виртуальной сети и подсети, на которую настроена частная конечная точка. Чтобы убедиться, что трафик из виртуальной машины используется только в частной сети, отключите исходящий интернет-трафик с помощью правила группы безопасности сети (NSG).
  2. Протоколы удаленного рабочего стола (RDP) на виртуальную машину.
  3. Доступ к конечной /metadata точке сервера FHIR из виртуальной машины. Вы должны получить инструкцию возможности в качестве ответа.

Примечание.

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .

DICOM® является зарегистрированным товарным знаком Национальной ассоциации производителей электрических технологий для публикаций по стандартам, касающихся цифровых коммуникаций медицинской информации.