Konfigurace služby Private Link pro službu Azure Health Data Services

Private Link umožňuje přístup ke službě Azure Health Data Services přes privátní koncový bod. Private Link je síťové rozhraní, které vás soukromě a bezpečně připojuje pomocí privátní IP adresy z vaší virtuální sítě. Pomocí služby Private Link můžete bezpečně přistupovat k našim službám z vaší virtuální sítě jako služby první strany, aniž byste museli projít veřejným systémem DNS (Domain Name System). Tento článek popisuje, jak vytvořit, otestovat a spravovat privátní koncový bod pro službu Azure Health Data Services.

Poznámka:

Jakmile je služba Private Link povolená, není možné službu Private Link ani službu Azure Health Data Services přesunout z jedné skupiny prostředků nebo předplatného do jiného. Pokud chcete provést přesun, nejprve odstraňte službu Private Link a pak přesuňte službu Azure Health Data Services. Po dokončení přesunu vytvořte novou službu Private Link. Dále před odstraněním služby Private Link vyhodnoťte potenciální důsledky zabezpečení.

Pokud exportujete protokoly auditu a metriky, které jsou povolené, aktualizujte nastavení exportu prostřednictvím nastavení diagnostiky z portálu.

Požadavky

Před vytvořením privátního koncového bodu je potřeba nejprve vytvořit následující prostředky Azure:

• Skupina prostředků – skupina prostředků Azure, která obsahuje virtuální síť a privátní koncový bod.
• Pracovní prostor – logický kontejner pro instance služeb FHIR® a DICOM®.
• Virtuální síť – virtuální síť , ke které jsou připojené vaše klientské služby a privátní koncový bod.

Další informace najdete v dokumentaci ke službě Private Link.

Vytvoření privátního koncového bodu

Pokud chcete vytvořit privátní koncový bod, může uživatel s oprávněními řízení přístupu na základě role (RBAC) v pracovním prostoru nebo skupině prostředků, ve které se pracovní prostor nachází, použít Azure Portal. Použití webu Azure Portal se doporučuje, protože automatizuje vytváření a konfiguraci Privátní DNS zóny. Další informace najdete v úvodních příručkách služby Private Link.

Private Link se konfiguruje na úrovni pracovního prostoru a automaticky se nakonfiguruje pro všechny služby FHIR a DICOM v rámci pracovního prostoru.

Existují dva způsoby vytvoření privátního koncového bodu. Tok automatického schvalování umožňuje uživateli, který má v pracovním prostoru oprávnění RBAC, vytvořit privátní koncový bod bez nutnosti schválení. Tok ručního schválení umožňuje uživateli bez oprávnění k pracovnímu prostoru požádat vlastníky pracovního prostoru nebo skupiny prostředků o schválení privátního koncového bodu.

Poznámka:

Když se pro službu Azure Health Data Services vytvoří schválený privátní koncový bod, veřejný provoz do něj se automaticky zakáže.

Automatické schválení

Ujistěte se, že je oblast pro nový privátní koncový bod stejná jako oblast pro vaši virtuální síť. Oblast pracovního prostoru se může lišit.

Pro typ prostředku vyhledejte a v rozevíracím seznamu vyberte Microsoft.HealthcareApis/workspaces . Pro prostředek vyberte pracovní prostor ve skupině prostředků. Cílový podsourc, healthcareworkspace, se vyplní automaticky.

Ruční schválení

Pro ruční schválení vyberte druhou možnost v části Prostředek, Připojte se k prostředku Azure pomocí ID prostředku nebo aliasu. Jako ID prostředku zadejte předplatná/{subscriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. V podsourcu Cíle zadejte healthcareworkspace jako v části Automatické schválení.

Konfigurace DNS služby Private Link

Po dokončení nasazení vyberte prostředek Private Link ve skupině prostředků. V nabídce nastavení otevřete konfiguraci DNS. Záznamy DNS a privátní IP adresy pro pracovní prostor najdete a služby FHIR a DICOM.

Mapování služby Private Link

Po dokončení nasazení přejděte do nové skupiny prostředků, která se vytvoří jako součást nasazení. Měli byste vidět dva záznamy privátní zóny DNS a jeden pro každou službu. Pokud máte v pracovním prostoru více služeb FHIR a DICOM, vytvoří se pro ně více záznamů zóny DNS.

V nastavení vyberte propojení virtuální sítě. Všimněte si, že služba FHIR je propojená s virtuální sítí.

Podobně můžete zobrazit mapování privátního propojení pro službu DICOM.

Můžete také vidět, že služba DICOM je propojená s virtuální sítí.

Testování privátního koncového bodu

Pokud chcete ověřit, že vaše služba nepřijímá veřejný provoz po zakázání přístupu k veřejné síti, vyberte /metadata koncový bod služby FHIR nebo koncový bod /health/check služby DICOM a zobrazí se zpráva 403 Zakázáno.

Po aktualizaci příznaku přístupu k veřejné síti může trvat až 5 minut, než se zablokuje veřejný provoz.

Důležité

Pokaždé, když se nová služba přidá do pracovního prostoru s povolenou službou Private Link, počkejte na dokončení zřizování. Aktualizujte privátní koncový bod, pokud se neaktualizují záznamy DNS A pro nově přidané služby v pracovním prostoru. Pokud se záznamy DNS A ve vaší privátní zóně DNS neaktualizují, požadavky na nově přidané služby nepřejdou přes Private Link.

Pokud chcete zajistit, aby váš privátní koncový bod mohl odesílat provoz na váš server:

1. Vytvořte virtuální počítač, který je připojený k virtuální síti a podsíti, na které je nakonfigurovaný privátní koncový bod. Pokud chcete zajistit, aby provoz z virtuálního počítače používal pouze privátní síť, zakažte odchozí internetový provoz pomocí pravidla skupiny zabezpečení sítě (NSG).
2. Protokoly vzdálené plochy (RDP) do virtuálního počítače.
3. Z virtuálního počítače se dostanete ke koncovému bodu vašeho serveru /metadata FHIR. Jako odpověď byste měli obdržet příkaz schopností.

Poznámka:

FHIR® je registrovaná ochranná známka HL7 a používá se s povolením HL7.

DICOM® je registrovaná ochranná známka asociace National Electrical Manufacturers Association pro publikace standardů týkající se digitální komunikace s lékařskými informacemi.