你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置专用链接
借助专用链接,可通过专用终结点访问 Azure API for FHIR,这是一个网络接口,可使用虚拟网络中的专用 IP 地址进行专用安全连接。 借助专用链接,可从 VNet 安全地将服务作为第一方服务来访问,而无需通过公共域名系统 (DNS)。 本文介绍如何为 Azure API for FHIR 创建、测试和管理专用终结点。
注意
启用专用链接后,就无法将专用链接或 Azure API for FHIR 从一个资源组或订阅移动到另一个资源组或订阅。 若要进行移动,请先删除专用链接,然后移动 Azure API for FHIR。 移动完成后,创建新的专用链接。 请在删除专用链接之前评估潜在的安全后果。
如果为 Azure API for FHIR 启用了审核日志和指标的导出,请通过门户中的“诊断设置”更新导出设置。
先决条件
在创建专用终结点之前,需要先创建一些 Azure 资源:
- 资源组 - 将包含虚拟网络和专用终结点的 Azure 资源组。
- Azure API for FHIR - 要放在专用终结点后面的 FHIR 资源。
- 虚拟网络 - 客户端服务和专用终结点将连接到的 VNet。
有关详细信息,请参阅专用链接文档。
创建专用终结点
若要创建专用终结点,对 FHIR 资源具有基于角色的访问控制 (RBAC) 权限的开发人员可以使用 Azure 门户、Azure PowerShell 或 Azure CLI。 本文将指导你完成使用 Azure 门户所对应的步骤。 建议使用 Azure 门户,因为它会自动创建和配置专用 DNS 区域。 有关详细信息,请参阅专用链接快速入门指南。
可通过两种方法创建专用终结点。 借助自动审批流,对 FHIR 资源具有 RBAC 权限的用户无需审批即可创建专用终结点。 借助手动审批流,无权访问 FHIR 资源的用户可请求 FHIR 资源所有者批准专用终结点。
注意
在为 Azure API for FHIR 创建经过审批的专用终结点后,会自动禁用指向它的公共流量。
自动审批
确保新专用终结点的区域与虚拟网络的区域相同。 FHIR 资源的区域可能有所不同。
对于资源类型,请搜索并选择“Microsoft.HealthcareApis/services”。 对于资源,请选择 FHIR 资源。 对于“目标子资源”,请选择“ FHIR”。
如果没有设置现有的专用 DNS区域,请选择“ (新建) privatelink.azurehealthcareapis.com”。 如果已配置专用 DNS 区域,可从列表中选择该区域。 格式必须为 privatelink.azurehealthcareapis.com。
部署完成后,可返回到“专用终结点连接”选项卡,其中显示连接状态为“已批准” 。
手动审批
对于手动批准,请选择“资源”下的第二个选项,即“按资源 ID 或别名连接到 Azure 资源”。 对于“目标子资源”,输入“fhir”,如在“自动审批”中所示。
部署完成后,可返回到“专用终结点连接”选项卡,可在该选项卡中批准、拒绝或删除连接。
VNet 对等互连
配置专用链接后,可以在与 FHIR 服务器的 VNet 对等互连的其他 VNet 中访问 FHIR 服务器。 按照以下步骤配置 VNet 对等互连并专用链接 DNS 区域配置。
配置 VNet 对等互连
可以从门户或使用 PowerShell、CLI 脚本和 Azure 资源管理器 (ARM) 模板配置 VNet 对等互连。 第二个 VNet 可以位于相同或不同的订阅中,并且位于相同或不同的区域中。 请确保授予 “网络参与者” 角色。 有关 VNet 对等互连的详细信息,请参阅 创建虚拟网络对等互连。
将 VNet 链接添加到专用链接区域
在Azure 门户,选择 FHIR 服务器的资源组。 选择并打开专用 DNS区域,privatelink.azurehealthcareapis.com。 选择“设置”部分下的“虚拟网络链接”。 选择“ 添加 ”按钮,将第二个 VNet 添加到专用 DNS 区域。 输入所选的链接名称,选择创建的订阅和 VNet。 (可选)可以输入第二个 VNet 的资源 ID。 选择“ 启用自动注册”,这会自动为连接到第二个 VNet 的 VM 添加 DNS 记录。 删除 VNet 链接时,也会删除 VM 的 DNS 记录。
有关专用链接 DNS 区域如何将专用终结点 IP 地址解析为资源的 FQDN) (如 FHIR 服务器) (完全限定的域名的详细信息,请参阅 Azure 专用终结点 DNS 配置。
如果需要,可以添加更多 VNet 链接,并查看从门户添加的所有 VNet 链接。
在“概述”边栏选项卡中,可以查看 FHIR 服务器的专用 IP 地址,以及连接到对等虚拟网络的 VM。
管理专用终结点
查看
在 Azure 门户中,可在创建专用终结点和关联的网络接口控制器 (NIC) 的资源组中查看这些内容。
删除
只能从 Azure 门户中删除专用终结点,方式是使用“概述”边栏选项卡,或者选择“网络专用终结点连接”选项卡下的“删除”选项。如果选择“删除”选项,将删除专用终结点及关联的 NIC 。 如果删除 FHIR 资源和公用网络的所有专用终结点,则会禁用访问,并且不会向 FHIR 服务器发送任何请求。
对专用链接和 VNet 对等互连进行测试和故障排除
若要确保 FHIR 服务器在禁用公用网络访问后不会接收公共流量,请从计算机中选择服务器的 /metadata 终结点。 应该会收到“403 禁止访问”消息。
注意
在更新公用网络访问标志后,最多可能需要 5 分钟才会阻止公共流量。
创建和使用 VM
若要确保专用终结点可将流量发送到服务器:
- 创建连接到配置专用终结点的虚拟网络和子网的虚拟机 (VM)。 若要确保来自该 VM 的流量仅使用专用网络,请使用网络安全组 (NSG) 规则禁用出站 Internet 流量。
- 通过 RDP 访问 VM。
- 从 VM 访问 FHIR 服务器的 /metadata 终结点。 应会收到功能声明作为响应。
使用 nslookup
可以使用 nslookup 工具来验证连接性。 如果专用链接配置正确,应会看到 FHIR 服务器 URL 解析为有效的专用 IP 地址,如下所示。 请注意,IP 地址 168.63.129.16 是 Azure 中使用的虚拟公共 IP 地址。 有关详细信息,请参阅 什么是 IP 地址 168.63.129.16
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
如果未正确配置专用链接,可能会改为看到公共 IP 地址以及一些别名,包括流量管理器终结点。 这表示专用链接 DNS 区域无法解析为 FHIR 服务器的有效专用 IP 地址。 配置 VNet 对等互连时,一个可能的原因是尚未将第二个对等互连的 VNet 添加到专用链接 DNS 区域。 因此,尝试访问 FHIR 服务器的 /metadata 终结点时,会看到 HTTP 错误 403“拒绝访问 xxx”。
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
有关详细信息,请参阅排查Azure 专用链接连接问题。
后续步骤
本文介绍了如何配置专用链接和 VNet 对等互连。 你还了解了如何对专用链接和 VNet 配置进行故障排除。
根据专用链接设置以及有关注册应用程序的详细信息,请参阅
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。