Udostępnij za pośrednictwem

Konfigurowanie łącza prywatnego

  • Artykuł

Ważne

Usługa Azure API for FHIR zostanie wycofana 30 września 2026 r. Postępuj zgodnie ze strategiami migracji, aby przejść do usługi Azure Health Data Services FHIR® do tej daty. Ze względu na wycofanie usługi Azure API for FHIR nowe wdrożenia nie będą możliwe od 1 kwietnia 2025 r. Usługa FHIR usług Azure Health Data Services to rozwinięta wersja usługi Azure API for FHIR, która umożliwia klientom zarządzanie usługami FHIR, DICOM i MedTech z integracją z innymi usługami platformy Azure.

Link prywatny umożliwia dostęp do interfejsu API platformy Azure for FHIR® za pośrednictwem prywatnego punktu końcowego, który jest interfejsem sieciowym, który łączy Cię prywatnie i bezpiecznie przy użyciu prywatnego adresu IP z sieci wirtualnej. Za pomocą łącza prywatnego możesz bezpiecznie uzyskiwać dostęp do naszych usług z sieci wirtualnej jako usługi pierwszej firmy bez konieczności korzystania z publicznego systemu nazw domen (DNS). W tym artykule opisano sposób tworzenia, testowania i zarządzania prywatnym punktem końcowym dla usługi Azure API for FHIR.

Uwaga

Po włączeniu usługi Private Link ani interfejsu API platformy Azure for FHIR nie można przenieść z jednej grupy zasobów lub subskrypcji do innej. Aby przeprowadzić przeniesienie, najpierw usuń usługę Private Link, a następnie przenieś usługę Azure API for FHIR. Utwórz nowy link prywatny po zakończeniu przenoszenia. Przed usunięciem usługi Private Link należy ocenić potencjalne konsekwencje zabezpieczeń.

Jeśli eksportowanie dzienników inspekcji i metryk jest włączone dla usługi Azure API for FHIR, zaktualizuj ustawienie eksportu za pomocą ustawień diagnostycznych z portalu.

Wymagania wstępne

Przed utworzeniem prywatnego punktu końcowego należy najpierw utworzyć zasoby platformy Azure.

  • Grupa zasobów — grupa zasobów platformy Azure zawierająca sieć wirtualną i prywatny punkt końcowy.
  • Azure API for FHIR — zasób FHIR, który chcesz umieścić za prywatnym punktem końcowym.
  • Virtual Network (VNet) — sieć wirtualna, z którą będą połączone usługi klienckie i prywatny punkt końcowy.

Aby uzyskać więcej informacji, zobacz Dokumentację usługi Private Link.

Tworzenie prywatnego punktu końcowego

Aby utworzyć prywatny punkt końcowy, deweloper z uprawnieniami kontroli dostępu opartej na rolach (RBAC) w zasobie FHIR może używać witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Ten artykuł zawiera instrukcje dotyczące korzystania z witryny Azure Portal. Witryna Azure Portal jest zalecana, ponieważ automatyzuje tworzenie i konfigurację strefy Prywatna strefa DNS. Aby uzyskać więcej informacji, zobacz Przewodniki Szybki start dotyczące usługi Private Link.

Istnieją dwa sposoby tworzenia prywatnego punktu końcowego. Przepływ automatycznego zatwierdzania umożliwia użytkownikowi z uprawnieniami RBAC do zasobu FHIR utworzenie prywatnego punktu końcowego bez konieczności zatwierdzania. Przepływ zatwierdzania ręcznego umożliwia użytkownikowi bez uprawnień do zasobu FHIR żądanie zatwierdzenia prywatnego punktu końcowego przez właścicieli zasobu FHIR.

Uwaga

Po utworzeniu zatwierdzonego prywatnego punktu końcowego dla usługi Azure API for FHIR ruch publiczny do niego jest automatycznie wyłączony.

Automatyczne zatwierdzanie

Upewnij się, że region nowego prywatnego punktu końcowego jest taki sam jak region dla sieci wirtualnej. Region zasobu FHIR może być inny.

Karta Podstawy witryny Azure Portal

Dla typu zasobu wyszukaj i wybierz pozycję Microsoft.HealthcareApis/services. Dla zasobu wybierz zasób FHIR. W polu Docelowy podźródło wybierz pozycję FHIR.

Karta Zasób witryny Azure Portal

Jeśli nie masz skonfigurowanej istniejącej strefy Prywatna strefa DNS, wybierz pozycję (Nowy)privatelink.azurehealthcareapis.com. Jeśli masz już skonfigurowaną strefę Prywatna strefa DNS, możesz ją wybrać z listy. Musi być w formacie privatelink.azurehealthcareapis.com.

Karta Konfiguracja witryny Azure Portal

Po zakończeniu wdrażania możesz wrócić do karty Połączenia prywatnego punktu końcowego, na której zostanie wyświetlony komunikat Zatwierdzone jako stan połączenia.

Zatwierdzanie ręczne

Aby przeprowadzić ręczne zatwierdzenie, wybierz drugą opcję w obszarze Zasób "Połącz się z zasobem platformy Azure według identyfikatora zasobu lub aliasu". W polu Docelowy podźródło wprowadź wartość "fhir", tak jak w obszarze Automatyczne zatwierdzanie.

Zatwierdzanie ręczne

Po zakończeniu wdrażania możesz wrócić do karty "Połączenia z prywatnym punktem końcowym", na której można zatwierdzać, odrzucać lub usuwać połączenie.

Opcje

Komunikacja równorzędna sieci wirtualnych

Po skonfigurowaniu usługi Private Link można uzyskać dostęp do serwera FHIR w tej samej sieci wirtualnej lub innej sieci wirtualnej równorzędnej z siecią wirtualną serwera FHIR. Wykonaj poniższe kroki, aby skonfigurować komunikację równorzędną sieci wirtualnych i konfigurację strefy DNS usługi Private Link.

Konfigurowanie komunikacji równorzędnej sieci wirtualnych

Komunikację równorzędną sieci wirtualnych można skonfigurować z poziomu portalu lub przy użyciu programu PowerShell, skryptów interfejsu wiersza polecenia i szablonu usługi Azure Resource Manager (ARM). Druga sieć wirtualna może znajdować się w tych samych lub różnych subskrypcjach oraz w tych samych lub różnych regionach. Upewnij się, że udzielono roli Współautor sieci. Aby uzyskać więcej informacji na temat komunikacji równorzędnej sieci wirtualnych, zobacz Tworzenie komunikacji równorzędnej sieci wirtualnych.

W witrynie Azure Portal wybierz grupę zasobów serwera FHIR. Wybierz i otwórz strefę Prywatna strefa DNS, privatelink.azurehealthcareapis.com. Wybierz pozycję Łącza sieci wirtualnej w sekcji ustawienia . Wybierz przycisk Dodaj, aby dodać drugą sieć wirtualną do prywatnej strefy DNS. Wprowadź wybraną nazwę łącza, wybierz subskrypcję i utworzoną sieć wirtualną. Opcjonalnie możesz wprowadzić identyfikator zasobu dla drugiej sieci wirtualnej. Wybierz pozycję Włącz automatyczną rejestrację, która automatycznie dodaje rekord DNS dla maszyny wirtualnej połączonej z drugą siecią wirtualną. Po usunięciu linku sieci wirtualnej rekord DNS dla maszyny wirtualnej również zostanie usunięty.

Aby uzyskać więcej informacji na temat sposobu rozpoznawania prywatnego adresu IP punktu końcowego przez strefę DNS łącza prywatnego do w pełni kwalifikowanej nazwy domeny (FQDN) zasobu, takiego jak serwer FHIR, zobacz Konfiguracja dns prywatnego punktu końcowego platformy Azure.

Dodaj link do sieci wirtualnej.

W razie potrzeby możesz dodać więcej linków sieci wirtualnej i wyświetlić wszystkie łącza sieci wirtualnej dodane w portalu.

Łącza sieci wirtualnej usługi Private Link.

W bloku Przegląd można wyświetlić prywatne adresy IP serwera FHIR i maszyny wirtualne połączone z równorzędnymi sieciami wirtualnymi.

Zrzut ekranu przedstawiający prywatne adresy IP usługi Private Link i maszyny wirtualnej.

Zarządzanie prywatnym punktem końcowym

Widok

Prywatne punkty końcowe i skojarzony kontroler interfejsu sieciowego (NIC) są widoczne w witrynie Azure Portal z grupy zasobów, w której zostały utworzone.

Wyświetlanie w zasobach

Delete

Prywatne punkty końcowe można usunąć tylko z witryny Azure Portal w bloku Przegląd lub wybierając opcję Usuń na karcie Połączenia prywatnego punktu końcowego sieci. Wybranie pozycji Usuń usuwa prywatny punkt końcowy i skojarzona karta sieciowa. Jeśli usuniesz wszystkie prywatne punkty końcowe do zasobu FHIR i sieci publicznej, dostęp zostanie wyłączony i żadne żądanie nie wyśle go do serwera FHIR.

Usuwanie prywatnego punktu końcowego

Aby upewnić się, że serwer FHIR nie odbiera ruchu publicznego po wyłączeniu dostępu do sieci publicznej, wybierz punkt końcowy metadanych serwera z komputera. Powinien zostać wyświetlony komunikat 403 Zabronione.

Uwaga

Po zaktualizowaniu flagi dostępu do sieci publicznej może upłynąć do 5 minut, zanim ruch publiczny zostanie zablokowany.

Tworzenie i używanie maszyny wirtualnej

Aby upewnić się, że prywatny punkt końcowy może wysyłać ruch do serwera:

  1. Utwórz maszynę wirtualną połączoną z siecią wirtualną i podsieć skonfigurowaną dla prywatnego punktu końcowego. Aby upewnić się, że ruch z maszyny wirtualnej korzysta tylko z sieci prywatnej, wyłącz wychodzący ruch internetowy przy użyciu reguły sieciowej grupy zabezpieczeń.
  2. Połączenie RDP z maszyną wirtualną.
  3. Uzyskaj dostęp do punktu końcowego /metadata serwera FHIR z maszyny wirtualnej. Powinna zostać wyświetlona instrukcja capability jako odpowiedź.

Korzystanie z polecenia nslookup

Aby zweryfikować łączność, możesz użyć narzędzia nslookup . Jeśli link prywatny jest poprawnie skonfigurowany, adres URL serwera FHIR powinien zostać rozpoznany jako prawidłowy prywatny adres IP, jak pokazano poniżej. Należy pamiętać, że adres IP 168.63.129.16 jest wirtualnym publicznym adresem IP używanym na platformie Azure. Aby uzyskać więcej informacji, zobacz Co to jest adres IP 168.63.129.16.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Jeśli link prywatny nie jest poprawnie skonfigurowany, może zostać wyświetlony publiczny adres IP i kilka aliasów, w tym punkt końcowy usługi Traffic Manager. Oznacza to, że strefa DNS łącza prywatnego nie może rozpoznać prawidłowego prywatnego adresu IP serwera FHIR. Po skonfigurowaniu komunikacji równorzędnej sieci wirtualnych jedną z możliwych przyczyn jest to, że druga równorzędna sieć wirtualna nie została dodana do strefy DNS łącza prywatnego. W związku z tym podczas próby uzyskania dostępu do punktu końcowego /metadata serwera FHIR zostanie wyświetlony błąd HTTP 403 "Odmowa dostępu do xxx".

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z łącznością usługi Azure Private Link.

Następne kroki

W tym artykule przedstawiono sposób konfigurowania łącza prywatnego i komunikacji równorzędnej sieci wirtualnych. Przedstawiono również sposób rozwiązywania problemów z konfiguracją łącza prywatnego i sieci wirtualnej.

Na podstawie konfiguracji linku prywatnego i aby uzyskać więcej informacji na temat rejestrowania aplikacji, zapoznaj się z następującymi tematami.

Uwaga

FHIR® jest zastrzeżonym znakiem towarowym HL7 i jest używany z uprawnieniem HL7.