設定私人連結

私人連結可讓您透過私人端點存取 Azure API for FHIR,這是一種網路介面,可讓您使用虛擬網路的私人 IP 位址,以私下且安全地連線。 透過私人連結,您可以安全地從 VNet 存取我們的服務作為第一方服務,而不需要通過公用網域名稱系統 (DNS) 。 本文說明如何建立、測試及管理 Azure API for FHIR 的私人端點。

注意

Private Link或 Azure API for FHIR 都無法從一個資源群組或訂用帳戶移至另一個資源群組,一旦啟用Private Link。 若要進行移動,請先刪除Private Link,然後移動 Azure API for FHIR。 一旦移動完成,請建立新的Private Link。 先評估潛在的安全性影響,再刪除Private Link。

如果已啟用 Azure API for FHIR 的稽核記錄和計量匯出,請從入口網站透過 診斷設定 更新匯出設定。

必要條件

建立私人端點之前,您需要先建立一些 Azure 資源:

  • 資源群組 – 將包含虛擬網路和私人端點的 Azure 資源群組。
  • Azure API for FHIR – 您想要放在私人端點後方的 FHIR 資源。
  • 虛擬網路 – 用戶端服務和私人端點將連線到的 VNet。

如需詳細資訊,請參閱Private Link檔

建立私人端點

若要建立私人端點,具有角色型存取控制的開發人員 (RBAC) FHIR 資源的許可權可以使用 Azure 入口網站、Azure PowerShellAzure CLI。 本文將引導您完成使用Azure 入口網站的步驟。 建議使用 Azure 入口網站,因為它會自動建立和設定私用 DNS區域。 如需詳細資訊,請參閱Private Link快速入門手冊

有兩種方式可以建立私人端點。 自動核准流程可讓使用者擁有 FHIR 資源的 RBAC 許可權,不需要核准即可建立私人端點。 手動核准流程可讓使用者沒有 FHIR 資源的許可權,要求 FHIR 資源的擁有者核准私人端點。

注意

針對 Azure API for FHIR 建立核准的私人端點時,系統會自動停用其公用流量。

自動核准

請確定新私人端點的區域與虛擬網路的區域相同。 FHIR 資源的區域可能不同。

Azure 入口網站基本概念索引標籤

針對資源類型,搜尋並選取 [Microsoft.HealthcareApis/services]。 針對資源,選取 FHIR 資源。 針對目標子資源,選取 [FHIR]。

Azure 入口網站資源索引標籤

如果您沒有設定現有的私用 DNS區域,請選取[ ([新增) privatelink.azurehealthcareapis.com]。 如果您已經設定私用 DNS區域,您可以從清單中選取它。 它的格式必須是 privatelink.azurehealthcareapis.com

Azure 入口網站組態索引標籤

部署完成之後,您可以返回 [ 私人端點連線 ] 索引標籤,您會注意到 [ 已核准 ] 作為線上狀態。

手動核准

如需手動核准,請選取 [資源] 底下的第二個選項:「依資源識別碼或別名連線至 Azure 資源」。 針對 [目標] 子資源,輸入 「fhir」 作為 [自動核准]。

手動核准

部署完成之後,您可以返回 [私人端點連線] 索引標籤,您可以在該索引標籤上核准、拒絕或移除連線。

選項

VNet 對等互連

Private Link設定後,您可以在相同的 VNet 或對等互連至 FHIR 伺服器的 VNet 的不同 VNet 中存取 FHIR 伺服器。 請遵循下列步驟來設定 VNet 對等互連和Private Link DNS 區域設定。

設定 VNet 對等互連

您可以從入口網站或使用 PowerShell、CLI 腳本和 Azure Resource Manager (ARM) 範本來設定 VNet 對等互連。 第二個 VNet 可以位於相同或不同的訂用帳戶中,以及位於相同或不同的區域中。 請確定您授與 網路參與者 角色。 如需 VNet 對等互連的詳細資訊,請參閱 建立虛擬網路對等互連

在Azure 入口網站中,選取 FHIR 伺服器的資源群組。 選取並開啟私用 DNS區域,privatelink.azurehealthcareapis.com。 選取[設定] 區段底下的[虛擬網路連結]。 選取 [ 新增 ] 按鈕,將第二個 VNet 新增至私人 DNS 區域。 輸入您選擇的連結名稱,選取您建立的訂用帳戶和 VNet。 您可以選擇性地輸入第二個 VNet 的資源識別碼。 選取 [啟用自動註冊],自動為連線到第二個 VNet 的 VM 新增 DNS 記錄。 當您刪除 VNet 連結時,也會刪除 VM 的 DNS 記錄。

如需私人連結 DNS 區域如何將私人端點 IP 位址解析為 FHIR 伺服器等資源的完整功能變數名稱 (FQDN) 的詳細資訊,請參閱 Azure 私人端點 DNS設定。

新增 VNet 連結。

如有需要,您可以新增更多 VNet 連結,並檢視您從入口網站新增的所有 VNet 連結。

Private Link VNet 連結。

從 [概觀] 刀鋒視窗中,您可以檢視 FHIR 伺服器的私人 IP 位址和連線至對等互連虛擬網路的 VM。

Private Link FHIR 和 VM 私人 IP 位址。

管理私人端點

檢視

私人端點和相關聯的網路介面控制器 (NIC) 會顯示在Azure 入口網站中建立的資源群組。

在資源中檢視

刪除

私人端點只能從 [概觀] 刀鋒視窗的 [Azure 入口網站中刪除,或選取 [網路私人端點連線] 索引標籤下的[移除] 選項。選取[移除] 將會刪除私人端點和相關聯的 NIC。 如果您刪除 FHIR 資源和公用網路的所有私人端點,則會停用存取權,而且不會對 FHIR 伺服器提出任何要求。

刪除私人端點

若要確保 FHIR 伺服器在停用公用網路存取之後未接收公用流量,請從您的電腦選取伺服器的 /metadata 端點。 您應該會收到 403 禁止。

注意

在封鎖公用流量之前,更新公用網路存取旗標之後,最多可能需要 5 分鐘的時間。

建立和使用 VM

若要確保您的私人端點可以將流量傳送至您的伺服器:

  1. 建立虛擬機器 (VM) 連線到虛擬網路,並設定私人端點所在的子網。 若要確保您的來自 VM 的流量只使用私人網路,請使用網路安全性群組停用輸出網際網路流量, (NSG) 規則。
  2. RDP 到 VM。
  3. 從 VM 存取 FHIR 伺服器的 /中繼資料端點。 您應該會收到功能語句作為回應。

使用 nslookup

您可以使用 nslookup 工具來驗證連線能力。 如果私人連結已正確設定,您應該會看到 FHIR 伺服器 URL 解析為有效的私人 IP 位址,如下所示。 請注意,IP 位址 168.63.129.16 是 Azure 中使用的虛擬公用 IP 位址。 如需詳細資訊,請參閱 什麼是 IP 位址 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

如果私人連結未正確設定,您可能會改為看到公用 IP 位址,以及一些別名,包括流量管理員端點。 這表示私人連結 DNS 區域無法解析為 FHIR 伺服器的有效私人 IP 位址。 設定 VNet 對等互連時,其中一個可能的原因是第二個對等互連的 VNet 尚未新增至私人連結 DNS 區域。 因此,當您嘗試存取 FHIR 伺服器的 /metadata 端點時,您會看到 HTTP 錯誤 403「存取 xxx 遭到拒絕」。

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

如需詳細資訊,請參閱針對Azure Private Link連線問題進行疑難排解

下一步

在本文中,您已瞭解如何設定私人連結和 VNet 對等互連。 您也瞭解如何針對私人連結和 VNet 組態進行疑難排解。

根據您的私人連結設定和註冊應用程式的詳細資訊,請參閱

FHIR® 是 HL7 的注冊商標,可與 HL7 的許可權搭配使用。