Konfigurera Private Link för Azure Health Data Services

Med Private Link kan du komma åt Azure Health Data Services via en privat slutpunkt. Private Link är ett nätverksgränssnitt som ansluter dig privat och säkert med hjälp av en privat IP-adress från ditt virtuella nätverk. Med Private Link kan du komma åt våra tjänster på ett säkert sätt från ditt virtuella nätverk som en förstapartstjänst utan att behöva gå igenom ett offentligt DNS(Domain Name System). Den här artikeln beskriver hur du skapar, testar och hanterar din privata slutpunkt för Azure Health Data Services.

Kommentar

Varken Private Link eller Azure Health Data Services kan flyttas från en resursgrupp eller prenumeration till en annan när Private Link har aktiverats. Om du vill göra ett drag tar du först bort Private Link och flyttar sedan Azure Health Data Services. Skapa en ny privat länk när flytten är klar. Utvärdera sedan potentiella säkerhetsförgreningar innan du tar bort Private Link.

Om du exporterar granskningsloggar och mått som är aktiverade uppdaterar du exportinställningen via Diagnostik Inställningar från portalen.

Förutsättningar

Innan du skapar en privat slutpunkt måste följande Azure-resurser skapas först:

• Resursgrupp – Den Azure-resursgrupp som innehåller det virtuella nätverket och den privata slutpunkten.
• Arbetsyta – den logiska containern för FHIR®- och DICOM-tjänstinstanser®.
• Virtuellt nätverk – det virtuella nätverk som klienttjänsterna och den privata slutpunkten är anslutna till.

Mer information finns i Private Link-dokumentationen.

Skapa en privat slutpunkt

Om du vill skapa en privat slutpunkt kan en användare med RBAC-behörigheter (Rollbaserad åtkomstkontroll) på arbetsytan eller resursgruppen där arbetsytan finns använda Azure-portalen. Användning av Azure-portalen rekommenderas eftersom det automatiserar skapandet och konfigurationen av Privat DNS-zonen. Mer information finns i Snabbstartsguider för privat länk.

Privat länk konfigureras på arbetsytans nivå och konfigureras automatiskt för alla FHIR- och DICOM-tjänster på arbetsytan.

Det finns två sätt att skapa en privat slutpunkt. Med flöde för automatiskt godkännande kan en användare som har RBAC-behörigheter på arbetsytan skapa en privat slutpunkt utan behov av godkännande. Med manuellt godkännandeflöde kan en användare utan behörighet på arbetsytan begära att ägare av arbetsytan eller resursgruppen godkänner den privata slutpunkten.

Kommentar

När en godkänd privat slutpunkt skapas för Azure Health Data Services inaktiveras den offentliga trafiken till den automatiskt.

Automatiskt godkännande

Kontrollera att regionen för den nya privata slutpunkten är samma som regionen för ditt virtuella nätverk. Arbetsytans region kan vara annorlunda.

Sök efter resurstypen och välj Microsoft.HealthcareApis/workspaces i listrutan. För resursen väljer du arbetsytan i resursgruppen. Målunderresursen healthcareworkspace fylls i automatiskt.

Manuellt godkännande

För manuellt godkännande väljer du det andra alternativet under Resurs, Anslut till en Azure-resurs efter resurs-ID eller alias. För resurs-ID anger du prenumerationer/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. För underresursen Mål anger du healthcareworkspace som i Automatiskt godkännande.

Dns-konfiguration för Private Link

När distributionen är klar väljer du resursen Private Link i resursgruppen. Öppna DNS-konfigurationen från inställningsmenyn. Du hittar DNS-poster och privata IP-adresser för arbetsytan samt FHIR- och DICOM-tjänster.

Private Link-mappning

När distributionen är klar bläddrar du till den nya resursgruppen som skapas som en del av distributionen. Du bör se två privata DNS-zonposter och en för varje tjänst. Om du har fler FHIR- och DICOM-tjänster på arbetsytan skapas fler DNS-zonposter för dem.

Välj Länkar till virtuellt nätverk från Inställningar. Observera att FHIR-tjänsten är länkad till det virtuella nätverket.

På samma sätt kan du se den privata länkmappningen för DICOM-tjänsten.

Du kan också se att DICOM-tjänsten är länkad till det virtuella nätverket.

Testa privat slutpunkt

Om du vill kontrollera att tjänsten inte tar emot offentlig trafik när du har inaktiverat åtkomsten /metadata till det offentliga nätverket väljer du slutpunkten för din FHIR-tjänst eller slutpunkten /health/check för DICOM-tjänsten, så får du meddelandet 403 Förbjuden.

Det kan ta upp till 5 minuter efter att den offentliga nätverksåtkomstflaggan har uppdaterats innan den offentliga trafiken blockeras.

Viktigt!

Varje gång en ny tjänst läggs till i den private link-aktiverade arbetsytan väntar du tills etableringen har slutförts. Uppdatera den privata slutpunkten om DNS A-poster inte uppdateras för de nyligen tillagda tjänsterna på arbetsytan. Om DNS A-poster inte uppdateras i din privata DNS-zon går begäranden till en nyligen tillagda tjänst inte över Private Link.

Så här ser du till att din privata slutpunkt kan skicka trafik till servern:

1. Skapa en virtuell dator (VM) som är ansluten till det virtuella nätverket och undernätet som din privata slutpunkt är konfigurerad på. För att säkerställa att trafiken från den virtuella datorn endast använder det privata nätverket inaktiverar du utgående Internettrafik med hjälp av nätverkssäkerhetsgruppens regel (NSG).
2. RDP (Remote Desktop Protocols) till den virtuella datorn.
3. Få åtkomst till FHIR-serverns /metadata slutpunkt från den virtuella datorn. Du bör få funktionssatsen som ett svar.

Kommentar

FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.

DICOM® är ett registrerat varumärke som tillhör National Electrical Manufacturers Association för dess standarder publikationer som rör digital kommunikation av medicinsk information.