Dela via

Konfigurera privat länk

  • Artikel

Viktigt!

Azure API för FHIR avvecklas den 30 september 2026. Följ migreringsstrategierna för att övergå till Azure Health Data Services FHIR-tjänsten® senast det datumet. På grund av tillbakadragandet av Azure API för FHIR tillåts inte nya distributioner från och med den 1 april 2025. Azure Health Data Services FHIR-tjänsten är den utvecklade versionen av Azure API för FHIR som gör det möjligt för kunder att hantera FHIR-, DICOM- och MedTech-tjänster med integreringar i andra Azure-tjänster.

Med privat länk kan du komma åt Azure API för FHIR® via en privat slutpunkt, vilket är ett nätverksgränssnitt som ansluter dig privat och säkert med hjälp av en privat IP-adress från ditt virtuella nätverk. Med privat länk kan du komma åt våra tjänster på ett säkert sätt från ditt virtuella nätverk som en förstapartstjänst utan att behöva gå igenom ett offentligt DNS-system (Domain Name System). Den här artikeln beskriver hur du skapar, testar och hanterar din privata slutpunkt för Azure API för FHIR.

Kommentar

Varken Private Link eller Azure API för FHIR kan flyttas från en resursgrupp eller prenumeration till en annan när Private Link har aktiverats. Om du vill göra ett drag tar du först bort Private Link och flyttar sedan Azure API för FHIR. Skapa en ny privat länk när flytten är klar. Utvärdera potentiella säkerhetsförgreningar innan du tar bort Private Link.

Om export av granskningsloggar och mått är aktiverat för Azure API för FHIR uppdaterar du exportinställningen via Diagnostikinställningar från portalen.

Förutsättningar

Innan du skapar en privat slutpunkt måste du skapa Azure-resurser som först.

  • Resursgrupp – Den Azure-resursgrupp som innehåller det virtuella nätverket och den privata slutpunkten.
  • Azure API för FHIR – den FHIR-resurs som du vill lägga bakom en privat slutpunkt.
  • Virtuellt nätverk (VNet) – det virtuella nätverk som klienttjänsterna och den privata slutpunkten ska anslutas till.

Mer information finns i Private Link-dokumentationen.

Skapa en privat slutpunkt

För att skapa en privat slutpunkt kan en utvecklare med rbac-behörigheter (rollbaserad åtkomstkontroll) på FHIR-resursen använda Azure Portal, Azure PowerShell eller Azure CLI. Den här artikeln vägleder dig genom stegen för att använda Azure Portal. Azure Portal rekommenderas eftersom det automatiserar skapandet och konfigurationen av Privat DNS-zonen. Mer information finns i Snabbstartsguider för privat länk.

Det finns två sätt att skapa en privat slutpunkt. Med flöde för automatiskt godkännande kan en användare som har RBAC-behörigheter för FHIR-resursen skapa en privat slutpunkt utan behov av godkännande. Med flödet För manuellt godkännande kan en användare utan behörighet för FHIR-resursen begära att en privat slutpunkt godkänns av ägare av FHIR-resursen.

Kommentar

När en godkänd privat slutpunkt skapas för Azure API för FHIR inaktiveras den offentliga trafiken till den automatiskt.

Automatiskt godkännande

Kontrollera att regionen för den nya privata slutpunkten är samma som regionen för ditt virtuella nätverk. Regionen för din FHIR-resurs kan vara annorlunda.

fliken Azure Portal Grundläggande

Sök efter resurstypen och välj Microsoft.HealthcareApis/services. För resursen väljer du FHIR-resursen. För målunderresurs väljer du FHIR.

Azure Portal resursflik

Om du inte har konfigurerat en befintlig Privat DNS zon väljer du (Ny)privatelink.azurehealthcareapis.com. Om du redan har konfigurerat din Privat DNS zon kan du välja den i listan. Det måste vara i formatet privatelink.azurehealthcareapis.com.

Azure Portal fliken Konfiguration

När distributionen är klar kan du gå tillbaka till fliken Privata slutpunktsanslutningar där du ser Godkänd som anslutningstillstånd.

Manuellt godkännande

För manuellt godkännande väljer du det andra alternativet under Resurs, "Anslut till en Azure-resurs efter resurs-ID eller alias". För Målunderresurs anger du "fhir" som i Automatiskt godkännande.

Manuellt godkännande

När distributionen är klar kan du gå tillbaka till fliken Privata slutpunktsanslutningar där du kan godkänna, avvisa eller ta bort anslutningen.

Alternativ

VNet-peering

Med Private Link konfigurerat kan du komma åt FHIR-servern i samma virtuella nätverk eller ett annat VNet som är peer-kopplat till det virtuella nätverket för FHIR-servern. Använd följande steg för att konfigurera konfiguration av VNet-peering och Private Link DNS-zon.

Konfigurera VNet-peering

Du kan konfigurera VNet-peering från portalen eller använda PowerShell, CLI-skript och en Arm-mall (Azure Resource Manager). Det andra virtuella nätverket kan finnas i samma eller olika prenumerationer och i samma eller olika regioner. Se till att du beviljar rollen Nätverksdeltagare . Mer information om VNet-peering finns i Skapa en peering för virtuella nätverk.

I Azure Portal väljer du resursgruppen för FHIR-servern. Välj och öppna Privat DNS-zonen privatelink.azurehealthcareapis.com. Välj Länkar till virtuellt nätverk under avsnittet inställningar . Välj knappen Lägg till för att lägga till ditt andra virtuella nätverk i den privata DNS-zonen. Ange önskat länknamn, välj prenumerationen och det virtuella nätverk som du skapade. Du kan också ange resurs-ID:t för det andra virtuella nätverket. Välj Aktivera automatisk registrering, vilket automatiskt lägger till en DNS-post för den virtuella datorn som är ansluten till det andra virtuella nätverket. När du tar bort en VNet-länk tas även DNS-posten för den virtuella datorn bort.

Mer information om hur en DNS-zon med privat länk löser ip-adressen för den privata slutpunkten till resursens fullständigt kvalificerade domännamn (FQDN), till exempel FHIR-servern, finns i DNS-konfigurationen för azure private endpoint.

Lägg till VNet-länk.

Du kan lägga till fler VNet-länkar om det behövs och visa alla VNet-länkar som du har lagt till från portalen.

Private Link VNet-länkar.

På bladet Översikt kan du visa de privata IP-adresserna för FHIR-servern och de virtuella datorer som är anslutna till peerkopplade virtuella nätverk.

Skärmbild av Private Link FHIR och privata IP-adresser för virtuella datorer.

Hantera privat slutpunkt

Visa

Privata slutpunkter och den associerade nätverksgränssnittskontrollanten (NIC) visas i Azure Portal från resursgruppen som de skapades i.

Visa i resurser

Delete

Privata slutpunkter kan bara tas bort från Azure Portal från bladet Översikt eller genom att välja alternativet Ta bort under fliken Privata slutpunktsanslutningar för nätverk. Om du väljer Ta bort tas den privata slutpunkten och det associerade nätverkskortet bort. Om du tar bort alla privata slutpunkter till FHIR-resursen och det offentliga nätverket inaktiveras åtkomsten och ingen begäran skickas till FHIR-servern.

Ta bort privat slutpunkt

Om du vill se till att FHIR-servern inte tar emot offentlig trafik när du har inaktiverat åtkomsten till det offentliga nätverket väljer du metadataslutpunkten för servern från datorn. Du bör få en 403 Förbjuden.

Kommentar

Det kan ta upp till 5 minuter efter att den offentliga nätverksåtkomstflaggan har uppdaterats innan den offentliga trafiken blockeras.

Skapa och använda en virtuell dator

Så här ser du till att din privata slutpunkt kan skicka trafik till servern:

  1. Skapa en virtuell dator (VM) som är ansluten till det virtuella nätverket och undernätet som din privata slutpunkt är konfigurerad på. För att säkerställa att trafiken från den virtuella datorn endast använder det privata nätverket inaktiverar du utgående Internettrafik med hjälp av nätverkssäkerhetsgruppens regel (NSG).
  2. RDP till den virtuella datorn.
  3. Få åtkomst till FHIR-serverns /metadataslutpunkt från den virtuella datorn. Du bör få funktionssatsen som ett svar.

Använda nslookup

Du kan använda verktyget nslookup för att verifiera anslutningen. Om den privata länken är korrekt konfigurerad bör du se att FHIR-serverns URL matchar den giltiga privata IP-adressen enligt följande. Observera att IP-adressen 168.63.129.16 är en virtuell offentlig IP-adress som används i Azure. Mer information finns i Vad är IP-adress 168.63.129.16.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Om den privata länken inte är korrekt konfigurerad kan du i stället se den offentliga IP-adressen och några alias, inklusive Traffic Manager-slutpunkten. Detta indikerar att DNS-zonen för den privata länken inte kan matcha den giltiga privata IP-adressen för FHIR-servern. När VNet-peering har konfigurerats är en möjlig orsak att det andra peerkopplade virtuella nätverket inte har lagts till i DNS-zonen för privat länk. Därför visas HTTP-felet 403, "Åtkomst till xxx nekades", när du försöker komma åt slutpunkten /metadata för FHIR-servern.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Mer information finns i Felsöka anslutningsproblem med Azure Private Link.

Nästa steg

I den här artikeln har du lärt dig hur du konfigurerar den privata länken och VNet-peering. Du har också lärt dig hur du felsöker konfigurationerna för privat länk och VNet.

Baserat på konfigurationen av den privata länken och mer information om hur du registrerar dina program finns följande.

Kommentar

FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.