Konfigurace nastavení hromadného importu
Služba FHIR podporuje operaci $import, která umožňuje importovat data do služby FHIR z účtu úložiště. Import rozdělí vstupní soubory do několika datových proudů pro zajištění optimálního výkonu a nezaručuje pořadí zpracování prostředků. V současnosti jsou podporovány dva režimy $import.
Počáteční režim slouží k načtení prostředků FHIR do prázdného serveru FHIR. Počáteční režim podporuje pouze operace CREATE, a pokud je povolen, blokuje zápisy rozhraní API na server FHIR.
Přírůstkový režim je optimalizovaný pro pravidelné načítání dat na server FHIR a neblokuje zápisy prostřednictvím rozhraní API. Umožňuje také načíst lastUpdated a versionId z metadat prostředku (pokud je k dispozici ve formátu JSON prostředku).
V tomto dokumentu si projdeme tři kroky použité při konfiguraci nastavení importu ve službě FHIR:
- Povolte spravovanou identitu ve službě FHIR.
- Vytvořte účet úložiště Azure nebo použijte existující účet úložiště a pak službě FHIR udělte oprávnění pro přístup k němu.
- Nastavte konfiguraci importu ve službě FHIR.
Krok 1: Povolení spravované identity ve službě FHIR
Prvním krokem je povolení spravované identity v rámci celého systému ve službě. Použije se k udělení přístupu ke službě FHIR k účtu úložiště. Další informace o spravovaných identitách v Azure najdete v tématu Informace o spravovaných identitách pro prostředky Azure.
Postupujte podle pokynů k povolení spravované identity ve službě FHIR.
- V Azure Portal přejděte ke službě FHIR.
- Vyberte okno Identita .
- Vyberte možnost Stav na Zapnuto a pak vyberte Uložit.
- Vyberte Ano , pokud chcete povolit spravovanou identitu pro službu FHIR.
Po povolení identity systému se zobrazí hodnota identifikátoru GUID přiřazeného systémem.
Krok 2: Přiřazení oprávnění službě FHIR pro přístup k účtu úložiště
Podle následujících kroků přiřaďte oprávnění pro přístup k účtu úložiště.
- V účtu úložiště přejděte na Access Control (IAM).
- Vyberte Přidat přiřazení role. Pokud je během tohoto kroku možnost přidat přiřazení role neaktivní, musíte požádat správce Azure, aby vám k provedení tohoto kroku přiřadil oprávnění. Další informace o přiřazování rolí v Azure Portal najdete v tématu Předdefinované role Azure.
- Přidejte roli Přispěvatel dat v objektech blob služby Storage do služby FHIR.
- Vyberte Uložit.
Teď jste připraveni vybrat účet úložiště pro import.
Krok 3: Nastavení konfigurace importu služby FHIR
Poznámka
Pokud jste službě FHIR nepřiřadili přístupová oprávnění k úložišti, operace importu ($import) selžou.
Pro účely tohoto kroku potřebujete získat adresu URL požadavku a text JSON. Postupujte podle následujících pokynů.
- Přejděte na Azure Portal služby FHIR.
- Vyberte Přehled.
- Vyberte Zobrazení JSON.
- Vyberte verzi rozhraní API na verzi 2022-06-01 nebo novější.
Pokud chcete zadat účet Azure Storage v zobrazení JSON, musíte k aktualizaci služby FHIR použít rozhraní REST API .
Níže uvedený postup vás provede nastavením konfigurace pro režim počátečního a přírůstkového importu. Zvolte správný režim importu pro případ použití.
Krok 3a: Nastavte konfiguraci importu pro režim počátečního importu.
Proveďte následující změny json:
- Nastavte povoleno v importConfiguration na hodnotu true.
- Aktualizujte integrationDataStore názvem cílového účtu úložiště.
- Nastavte initialImportMode v importConfiguration na hodnotu true.
- Drop off provisioningState.
Po dokončení tohoto posledního kroku můžete provést import v počátečním režimu pomocí $import.
Krok 3b: Nastavení konfigurace importu pro režim přírůstkového importu
Proveďte následující změny json:
- Nastavte povoleno v importConfiguration na hodnotu true.
- Aktualizujte integrationDataStore názvem cílového účtu úložiště.
- Nastavte initialImportMode v importConfiguration na hodnotu false.
- Drop off provisioningState.
Po dokončení tohoto posledního kroku jste připraveni provést přírůstkový import pomocí $import.
Všimněte si, že můžete také použít tlačítko Nasadit do Azure k otevření vlastní šablony Resource Manager, která aktualizuje konfiguraci pro $import.
Zabezpečení operace $import služby FHIR
Pokud chcete bezpečně importovat data FHIR do služby FHIR z účtu ADLS Gen2, máte dvě možnosti:
Možnost 1: Povolení služby FHIR jako důvěryhodné služby Microsoftu
Možnost 2: Povolení přístupu k účtu úložiště pro konkrétní IP adresy přidružené ke službě FHIR Tato možnost umožňuje dvě různé konfigurace v závislosti na tom, jestli se účet úložiště nachází ve stejné oblasti Azure jako služba FHIR.
Možnost 1: Povolení služby FHIR jako důvěryhodné služby Microsoftu
V Azure Portal přejděte na svůj účet ADLS Gen2 a vyberte okno Sítě. Na kartě Brány firewalla virtuální sítě vyberte Povoleno z vybraných virtuálních sítí a IP adres.
V rozevíracím seznamu Typ prostředku vyberte Microsoft.HealthcareApis/workspaces a pak v rozevíracím seznamu Název instance vyberte svůj pracovní prostor.
V části Výjimky zaškrtněte políčko Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště. Nezapomeňte kliknout na Uložit , aby se nastavení zachovalo.
Dále spuštěním následujícího příkazu PowerShellu nainstalujte modul PowerShellu Az.Storage
do místního prostředí. To vám umožní nakonfigurovat účty úložiště Azure pomocí PowerShellu.
Install-Module Az.Storage -Repository PsGallery -AllowClobber -Force
Teď pomocí následujícího příkazu PowerShellu nastavte vybranou instanci služby FHIR jako důvěryhodný prostředek pro účet úložiště. Ujistěte se, že jsou všechny uvedené parametry definované ve vašem prostředí PowerShellu.
Všimněte si, že příkaz musíte spustit Add-AzStorageAccountNetworkRule
jako správce v místním prostředí. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.
$subscription="xxx"
$tenantId = "xxx"
$resourceGroupName = "xxx"
$storageaccountName = "xxx"
$workspacename="xxx"
$fhirname="xxx"
$resourceId = "/subscriptions/$subscription/resourceGroups/$resourceGroupName/providers/Microsoft.HealthcareApis/workspaces/$workspacename/fhirservices/$fhirname"
Add-AzStorageAccountNetworkRule -ResourceGroupName $resourceGroupName -Name $storageaccountName -TenantId $tenantId -ResourceId $resourceId
Po spuštění výše uvedeného příkazu se v části Brána firewall v části Instance prostředků v rozevíracím seznamu Název instance zobrazí 2 vybrané položky. Jedná se o názvy instance pracovního prostoru a instance služby FHIR, kterou jste zaregistrovali jako důvěryhodné prostředky Microsoftu.
Teď jste připraveni bezpečně importovat data FHIR z účtu úložiště. Účet úložiště je ve vybraných sítích a není veřejně přístupný. Pokud chcete mít zabezpečený přístup k souborům, můžete pro účet úložiště povolit privátní koncové body .
Možnost 2:
Povolení přístupu k účtu úložiště Azure pro konkrétní IP adresy z jiných oblastí Azure
V Azure Portal přejděte na účet ADLS Gen2 a vyberte okno Sítě.
Z vybraných virtuálních sítí a IP adres vyberte Povoleno. V části Brána firewall zadejte IP adresu do pole Rozsah adres . Přidejte rozsahy IP adres, abyste povolili přístup z internetu nebo místních sítí. IP adresu najdete v následující tabulce pro oblast Azure, ve které je služba FHIR zřízená.
Oblast Azure | Veřejná IP adresa |
---|---|
Austrálie – východ | 20.53.44.80 |
Střední Kanada | 20.48.192.84 |
USA – střed | 52.182.208.31 |
East US | 20.62.128.148 |
USA – východ 2 | 20.49.102.228 |
USA – východ 2 (EUAP) | 20.39.26.254 |
Německo – sever | 51.116.51.33 |
Německo – středozápad | 51.116.146.216 |
Japonsko – východ | 20.191.160.26 |
Jižní Korea – střed | 20.41.69.51 |
USA – středosever | 20.49.114.188 |
Severní Evropa | 52.146.131.52 |
Jižní Afrika – sever | 102.133.220.197 |
Středojižní USA | 13.73.254.220 |
Southeast Asia | 23.98.108.42 |
Švýcarsko – sever | 51.107.60.95 |
Spojené království – jih | 51.104.30.170 |
Spojené království – západ | 51.137.164.94 |
USA – středozápad | 52.150.156.44 |
West Europe | 20.61.98.66 |
Západní USA 2 | 40.64.135.77 |
Povolení přístupu k účtu úložiště Azure ve stejné oblasti pro konkrétní IP adresy
Proces konfigurace IP adres ve stejné oblasti je stejný jako výše, ale místo toho se používá konkrétní rozsah IP adres ve formátu CIDR (Classless Inter-Domain Routing) (tj. 100.64.0.0/10). Důvod, proč je potřeba zadat rozsah IP adres (100.64.0.0 – 100.127.255.255) je ten, že ip adresa pro službu FHIR se přidělí při každém podání žádosti o operaci.
Poznámka
Je možné, že je možné použít privátní IP adresu v rozsahu 10.0.2.0/24, ale není zaručeno, že v takovém případě bude operace úspěšná. Pokud požadavek na operaci selže, můžete to zkusit znovu, ale dokud se nepoužije IP adresa v rozsahu 100.64.0.0/10, požadavek nebude úspěšný. Toto chování sítě pro rozsahy IP adres je záměrně. Alternativou je konfigurace účtu úložiště v jiné oblasti.
Další kroky
V tomto článku jste se dozvěděli, jak služba FHIR podporuje operace $import a umožňuje importovat data do služby FHIR z účtu úložiště. Dozvěděli jste se také o třech krocích použitých při konfiguraci nastavení importu ve službě FHIR. Další informace o převodu dat do FHIR, exportu nastavení pro nastavení účtu úložiště a přesunutí dat do Azure Synapse najdete v tématu
FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.