你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置专用链接
重要
Azure API for FHIR 将于 2026 年 9 月 30 日停用。 按照迁移策略在该日期之前转换到 Azure Health Data Services FHIR® 服务。 由于 Azure API for FHIR 停用,在 2025 年 4 月 1 日开始前不会允许新的部署。 Azure Health Data Services FHIR 服务是 Azure API for FHIR 的演化版本,可让客户管理 FHIR、DICOM 和医疗技术服务,并集成到其他 Azure 服务。
通过专用链接,可以通过专用终结点访问 Azure API for FHIR®,该终结点是一个网络接口,该接口使用虚拟网络中的专用 IP 地址以专用方式安全地连接你。 使用专用链接,可以安全地从虚拟网络访问我们的服务作为第一方服务,而无需通过公共域名系统(DNS)。 本文介绍如何为 Azure API for FHIR 创建、测试和管理专用终结点。
注意
启用专用链接后,就无法将专用链接或 Azure API for FHIR 从一个资源组或订阅移动到另一个资源组或订阅。 若要进行移动,请先删除专用链接,然后移动 Azure API for FHIR。 移动完成后,创建新的专用链接。 请在删除专用链接之前评估潜在的安全后果。
如果为 Azure API for FHIR 启用了审核日志和指标的导出,请通过门户中的“诊断设置”更新导出设置。
先决条件
在创建专用终结点之前,需要先创建 Azure 资源。
- 资源组 – 包含虚拟网络和专用终结点的 Azure 资源组。
- Azure API for FHIR - 要放在专用终结点后面的 FHIR 资源。
- 虚拟网络 (VNet) - 客户端服务和专用终结点将连接到的 VNet。
有关详细信息,请参阅专用链接文档。
创建专用终结点
若要创建专用终结点,对 FHIR 资源具有基于角色的访问控制(RBAC)权限的开发人员可以使用 Azure 门户、Azure PowerShell 或 Azure CLI。 本文将指导你完成有关使用Azure 门户的步骤。 建议Azure 门户,因为它自动创建和配置私人 DNS区域。 有关详细信息,请参阅专用链接快速入门指南。
可通过两种方法创建专用终结点。 借助自动审批流,对 FHIR 资源具有 RBAC 权限的用户无需审批即可创建专用终结点。 借助手动审批流,无权访问 FHIR 资源的用户可请求 FHIR 资源所有者批准专用终结点。
注意
在为 Azure API for FHIR 创建经过审批的专用终结点后,会自动禁用指向它的公共流量。
自动审批
确保新专用终结点的区域与虚拟网络的区域相同。 FHIR 资源的区域可能有所不同。
对于资源类型,请搜索并选择“Microsoft.HealthcareApis/services”。 对于资源,请选择 FHIR 资源。 对于目标子资源,请选择 FHIR。
如果没有设置现有的私人 DNS区域,请选择“新建”privatelink.azurehealthcareapis.com。 如果已配置专用 DNS 区域,可从列表中选择该区域。 格式必须为 privatelink.azurehealthcareapis.com。
部署完成后,可返回到“专用终结点连接”选项卡,其中显示连接状态为“已批准”。
手动审批
对于手动批准,请选择“资源”下的第二个选项,即“按资源 ID 或别名连接到 Azure 资源”。 对于目标子资源,输入“fhir”,如自动审批中所示。
部署完成后,可返回到“专用终结点连接”选项卡,可在该选项卡中批准、拒绝或删除连接。
VNet 对等互连
配置专用链接后,可以在同一 VNet 或与 FHIR 服务器的 VNet 对等互连的其他 VNet 中访问 FHIR 服务器。 使用以下步骤配置 VNet 对等互连和专用链接 DNS 区域配置。
配置 VNet 对等互连
可以从门户或使用 PowerShell、CLI 脚本和 Azure 资源管理器 (ARM) 模板配置 VNet 对等互连。 第二个 VNet 可以位于相同或不同的订阅中,并且位于相同或不同的区域中。 请确保授予 网络参与者 角色。 有关 VNet 对等互连的详细信息,请参阅 创建虚拟网络对等互连。
将 VNet 链接添加到专用链接区域
在Azure 门户中,选择 FHIR 服务器的资源组。 选择并打开私人 DNS区域,privatelink.azurehealthcareapis.com。 选择“设置”部分下的虚拟网络链接。 选择“添加”按钮,将第二个 VNet 添加到专用 DNS 区域。 输入所选的链接名称,选择订阅和创建的 VNet。 (可选)可以输入第二个 VNet 的资源 ID。 选择“ 启用自动注册”,自动为连接到第二个 VNet 的 VM 添加 DNS 记录。 删除 VNet 链接时,也会删除 VM 的 DNS 记录。
若要详细了解专用链接 DNS 区域如何将专用终结点 IP 地址解析为资源的完全限定域名(FQDN),例如 FHIR 服务器,请参阅 Azure 专用终结点 DNS 配置。
如果需要,可以添加更多 VNet 链接,并查看从门户添加的所有 VNet 链接。
在“概述”边栏选项卡中,可以查看 FHIR 服务器的专用 IP 地址和连接到对等互连虚拟网络的 VM。
管理专用终结点
视图
在 Azure 门户中,可在创建专用终结点和关联的网络接口控制器 (NIC) 的资源组中查看这些内容。
删除
只能从“概述”边栏选项卡的“Azure 门户中删除专用终结点,也可以选择”网络专用终结点连接“选项卡下的”删除“选项。选择”删除“将删除专用终结点和关联的 NIC。 如果删除 FHIR 资源和公用网络的所有专用终结点,则会禁用访问,并且不会向 FHIR 服务器发送任何请求。
测试和排查专用链接和 VNet 对等互连问题
若要确保在禁用公共网络访问后 FHIR 服务器未接收公共流量,请从计算机中选择服务器的元数据终结点。 应该会收到“403 禁止访问”消息。
注意
在更新公用网络访问标志后,最多可能需要 5 分钟才会阻止公共流量。
创建和使用 VM
若要确保专用终结点可将流量发送到服务器:
- 创建连接到配置专用终结点的虚拟网络和子网的虚拟机 (VM)。 若要确保来自该 VM 的流量仅使用专用网络,请使用网络安全组 (NSG) 规则禁用出站 Internet 流量。
- 通过 RDP 访问 VM。
- 从 VM 访问 FHIR 服务器的 /metadata 终结点。 应会收到功能声明作为响应。
使用 nslookup
可以使用 nslookup 工具验证连接。 如果正确配置了专用链接,应会看到 FHIR 服务器 URL 解析为有效的专用 IP 地址,如下所示。 请注意,IP 地址 168.63.129.16 是 Azure 中使用的虚拟公共 IP 地址。 有关详细信息,请参阅什么是 IP 地址 168.63.129.16。
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
如果未正确配置专用链接,可能会看到公共 IP 地址和几个别名,包括流量管理员终结点。 这表示专用链接 DNS 区域无法解析为 FHIR 服务器的有效专用 IP 地址。 配置 VNet 对等互连时,一个可能的原因是第二个对等互连的 VNet 尚未添加到专用链接 DNS 区域。 因此,尝试访问 FHIR 服务器的 /metadata 终结点时,会看到 HTTP 错误 403“xxx 的访问被拒绝”。
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
有关详细信息,请参阅排查Azure 专用链接连接问题。
后续步骤
本文介绍了如何配置专用链接和 VNet 对等互连。 你还了解了如何排查专用链接和 VNet 配置问题。
根据专用链接设置以及有关注册应用程序的详细信息,请参阅以下内容。
注意
FHIR® 是 HL7 的注册商标,经 HL7 许可使用。