你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Azure Health Data Services 配置专用链接
专用链接使你能够通过专用终结点访问 Azure Health Data Services。 专用链接是一种网络接口,它使用虚拟网络中的专用 IP 地址以私密方式安全地连接你。 借助 专用链接,你可以作为第一方服务从 VNet 安全地访问我们的服务,而无需通过公共域名系统 (DNS) 。 本文介绍如何为 Azure Health Data Services 创建、测试和管理专用终结点。
注意
启用专用链接后,专用链接和 Azure Health Data Services 都不能从一个资源组或订阅移到另一个资源组或订阅。 若要进行移动,请先删除专用链接,然后移动 Azure Health Data Services。 在移动完成后创建新的专用链接。 接下来,在删除专用链接之前评估潜在的安全后果。
如果要导出已启用的审核日志和指标,请从门户通过 诊断设置 更新导出设置。
先决条件
在创建专用终结点之前,必须先创建以下 Azure 资源:
- 资源组 – 将包含虚拟网络和专用终结点的 Azure 资源组。
- 工作区 - 这是 FHIR 和 DICOM 服务实例的逻辑容器。
- 虚拟网络 – 客户端服务和专用终结点将连接到的 VNet。
有关详细信息,请参阅专用链接文档。
创建专用终结点
若要创建专用终结点,具有基于角色的访问控制 (RBAC 对工作区或工作区所在的资源组) 权限的用户可以使用 Azure 门户。 建议使用 Azure 门户,因为它会自动创建和配置专用 DNS 区域。 有关详细信息,请参阅专用链接快速入门指南。
专用链接是在工作区级别配置的,并且会自动为工作区中的所有 FHIR 和 DICOM 服务配置。
可通过两种方法创建专用终结点。 自动审批流允许对工作区具有 RBAC 权限的用户创建专用终结点,而无需批准。 手动审批流允许对工作区没有权限的用户请求由工作区或资源组的所有者批准专用终结点。
注意
为 Azure Health Data Services 创建批准的专用终结点时,会自动禁用其公共流量。
自动审批
确保新专用终结点的区域与虚拟网络的区域相同。 工作区的区域可能不同。
对于资源类型,搜索并从下拉列表中选择 Microsoft.HealthcareApis/workspaces 。 对于资源,选择资源组中的工作区。 将自动填充目标子资源 healthcareworkspace。
手动审批
对于手动审批,请选择“资源”下的第二个选项, “按资源 ID 或别名连接到 Azure 资源”。 对于资源 ID,请输入 subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}。 对于“目标”子资源,在“自动审批”中输入 healthcareworkspace 。
专用链接 DNS 配置
部署完成后,选择资源组中的专用链接资源。 从设置菜单打开 DNS 配置 。 可以找到工作区的 DNS 记录和专用 IP 地址,以及 FHIR 和 DICOM 服务。
专用链接映射
部署完成后,浏览到作为部署一部分创建的新资源组。 你将看到两条专用 DNS 区域记录,每个服务各有一条。 如果工作区中有更多的 FHIR 和 DICOM 服务,则会为它们创建其他 DNS 区域记录。
从“设置”中选择“虚拟网络链接”。 你会注意到 FHIR 服务已链接到虚拟网络。
同样,可以看到 DICOM 服务的专用链接映射。
此外,可以看到 DICOM 服务已链接到虚拟网络。
测试专用终结点
若要验证服务在禁用公用网络访问后是否未接收公共流量,请选择 /metadata
FHIR 服务的终结点或 DICOM 服务的 /health/检查 终结点,并会收到消息 403 禁止访问。
注意
在更新公用网络访问标志后,最多可能需要 5 分钟才会阻止公共流量。
重要
每次将新服务添加到启用了 专用链接 的工作区时,请等待预配完成。 如果未为工作区中新添加的服务更新 DNS A 记录 () ,请刷新专用终结点。 如果未在专用 DNS 区域中更新 DNS A 记录,则对新添加的服务 () 的请求将不会专用链接。
若要确保专用终结点可以向服务器发送流量,请执行以下操作:
- (连接到虚拟网络和配置专用终结点的子网的 VM) 创建虚拟机。 若要确保来自该 VM 的流量仅使用专用网络,请使用网络安全组 (NSG) 规则禁用出站 Internet 流量。
- 远程桌面协议 (RDP) VM。
- 从 VM 访问 FHIR 服务器的
/metadata
终结点。 应会收到功能声明作为响应。
后续步骤
本文介绍了如何为 Azure Health Data Services 配置专用链接。 专用链接在工作区级别配置,所有子资源(例如 FHIR 服务和具有工作区的 DICOM 服务)都链接到专用链接和虚拟网络。 有关 Azure Health Data Services 的详细信息,请参阅
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。