設定私人連結
重要
Azure API for FHIR 將於 2026 年 9 月 30 日淘汰。 請依照移轉策略,在該日期前轉換至 Azure 健康資料服務 FHIR® 服務。 由於 Azure API for FHIR 已淘汰,因此從 2025 年 4 月 1 日開始,將不允許新的部署。 Azure 健康資料服務 FHIR 服務是 Azure API for FHIR 的進化版本,可讓客戶透過與其他 Azure 服務整合來管理 FHIR、DICOM 和醫療技術服務。
私人連結可讓您透過私人端點存取 Azure API for FHIR®,這是一種網路介面,可讓您從虛擬網路使用私人 IP 位址安全地連線。 透過私人連結,您可以安全地從虛擬網路存取我們的服務作為第一方服務,而不需要通過公用域名系統(DNS)。 本文說明如何建立、測試及管理 Azure API for FHIR 的私人端點。
注意
一旦啟用 Private Link,或 Azure API for FHIR 都無法從一個資源群組或訂用帳戶移至另一個資源群組。 若要進行移動,請先刪除 Private Link,然後移動 Azure API for FHIR。 移動完成後,請建立新的 Private Link。 在刪除 Private Link 之前評估潛在的安全性影響。
如果已啟用 Azure API for FHIR 的稽核記錄和計量匯出,請從入口網站透過 診斷設定 來更新匯出設定。
必要條件
建立私人端點之前,您必須先建立 Azure 資源。
- 資源群組 – 包含虛擬網路和私人端點的 Azure 資源群組。
- Azure API for FHIR – 您想要放在私人端點後方的 FHIR 資源。
- 虛擬網絡 (VNet) – 用戶端服務和私人端點將連線的 VNet。
如需詳細資訊,請參閱 Private Link 檔。
建立私人端點
若要建立私人端點,FHIR 資源上具有角色型訪問控制 (RBAC) 許可權的開發人員可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI。 本文會引導您完成使用 Azure 入口網站的步驟。 建議 Azure 入口網站,因為它會自動建立和設定 私用 DNS 區域。 如需詳細資訊,請參閱 Private Link 快速入門指南。
有兩種方式可以建立私人端點。 自動核准流程可讓用戶擁有 FHIR 資源的 RBAC 許可權,不需要核准即可建立私人端點。 手動核准流程可讓沒有 FHIR 資源許可權的使用者要求私人端點由 FHIR 資源的擁有者核准。
注意
為 Azure API for FHIR 建立核准的私人端點時,會自動停用其公用流量。
自動核准
請確定新私人端點的區域與您虛擬網路的區域相同。 FHIR 資源的區域可能不同。
針對資源類型,搜尋並選取 [Microsoft.HealthcareApis/services]。 針對資源,選取 FHIR 資源。 針對目標子資源,選取 [FHIR]。
如果您沒有設定現有的 私用 DNS 區域,請選取 [新增]privatelink.azurehealthcareapis.com。 如果您已設定 私用 DNS 區域,您可以從清單中選取它。 其格式 必須是 privatelink.azurehealthcareapis.com。
部署完成之後,您可以返回 [私人端點連線 ] 索引卷標,您會注意到 [已 核准] 作為聯機狀態。
手動核准
如需手動核准,請選取 [資源] 底下的第二個選項[依資源標識符或別名連線到 Azure 資源]。 針對 [目標子資源],在 [自動核准] 中輸入 “fhir”。
部署完成之後,您可以返回 [私人端點連線] 索引卷標,您可以在該索引卷標上核准、拒絕或移除連線。
VNet 對等互連
設定 Private Link 之後,您可以在相同的 VNet 或對等互連至 FHIR 伺服器的 VNet 的不同 VNet 中存取 FHIR 伺服器。 使用下列步驟來設定 VNet 對等互連和 Private Link DNS 區域設定。
設定 VNet 對等互連
您可以從入口網站或使用PowerShell、CLI腳本和 Azure Resource Manager (ARM) 樣本來設定 VNet 對等互連。 第二個 VNet 可以位於相同或不同的訂用帳戶中,以及位於相同或不同的區域中。 請確定您授與 網路參與者 角色。 如需 VNet 對等互連的詳細資訊,請參閱 建立虛擬網路對等互連。
將 VNet 連結新增至私人連結區域
在 Azure 入口網站 中,選取 FHIR 伺服器的資源群組。 選取並開啟 私用 DNS 區域,privatelink.azurehealthcareapis.com。 選取 [設定] 區段底下的 [虛擬網络連結]。 選取 [ 新增 ] 按鈕,將第二個 VNet 新增至私人 DNS 區域。 輸入您選擇的連結名稱,選取您建立的訂用帳戶和 VNet。 您可以選擇輸入第二個 VNet 的資源識別碼。 選取 [ 啟用自動註冊],自動為連線至第二個 VNet 的 VM 新增 DNS 記錄。 當您刪除 VNet 連結時,也會刪除 VM 的 DNS 記錄。
如需私人連結 DNS 區域如何將私人端點 IP 位址解析為資源的完整功能變數名稱(FQDN),例如 FHIR 伺服器的詳細資訊,請參閱 Azure 私人端點 DNS 設定。
如有需要,您可以新增更多 VNet 連結,並檢視您從入口網站新增的所有 VNet 連結。
從 [概觀] 刀鋒視窗中,您可以檢視 FHIR 伺服器的私人IP 位址,以及連線至對等互連虛擬網路的 VM。
管理私人端點
檢視
私人端點和相關聯的網路介面控制器 (NIC) 會顯示在 Azure 入口網站 中,其建立所在的資源群組。
刪除
私人端點只能從 [概觀] 刀鋒視窗的 [Azure 入口網站 中刪除,或選取 [網络私人端點連線] 索引卷標下的 [移除] 選項。選取 [移除] 會刪除私人端點和相關聯的 NIC。 如果您刪除 FHIR 資源與公用網路的所有私人端點,則會停用存取權,且不會對 FHIR 伺服器提出任何要求。
測試和疑難解答私人連結和 VNet 對等互連
若要確保 FHIR 伺服器在停用公用網路存取之後未接收公用流量,請從您的電腦選取伺服器的 /metadata 端點。 您應該會收到 403 禁止。
注意
在封鎖公用流量之前,更新公用網路存取旗標最多可能需要 5 分鐘的時間。
建立和使用 VM
為了確保私人端點可以將流量傳送至您的伺服器:
- 建立連線到您私人端點所設定之虛擬網路和子網的虛擬機(VM)。 若要確保您的來自 VM 的流量僅使用專用網,請使用網路安全組 (NSG) 規則停用輸出因特網流量。
- RDP 到 VM。
- 從 VM 存取 FHIR 伺服器的 /元數據端點。 您應該會收到功能語句作為回應。
使用 nslookup
您可以使用 nslookup 工具來驗證連線能力。 如果私人鏈接已正確設定,您應該會看到 FHIR 伺服器 URL 解析為有效的私人 IP 位址,如下所示。 請注意,IP 位址 168.63.129.16 是 Azure 中使用的虛擬公用 IP 位址。 如需相關資訊,請參閱什麼是 IP 位址 168.63.129.16。
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
如果私人連結未正確設定,您可能會改為看到公用IP位址和一些別名,包括 流量管理員端點。 這表示私人連結 DNS 區域無法解析為 FHIR 伺服器的有效私人 IP 位址。 設定 VNet 對等互連時,其中一個可能的原因是第二個對等互連的 VNet 尚未新增至私人連結 DNS 區域。 因此,當您嘗試存取 FHIR 伺服器的 /metadata 端點時,您會看到 HTTP 錯誤 403「拒絕存取 xxx」。
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
如需詳細資訊,請參閱 針對 Azure Private Link 連線問題進行疑難解答。
下一步
在本文中,您已瞭解如何設定私人連結和 VNet 對等互連。 您也瞭解如何針對私人連結和 VNet 組態進行疑難解答。
根據您的私人連結設定,以及有關註冊應用程式的詳細資訊,請參閱下列內容。
注意
FHIR® 是 HL7 的註冊商標,在 HL7 的許可下使用。