設定 Azure Health Data Services 的 Private Link
Private Link 可讓您透過私人端點存取 Azure Health Data Services。 Private Link 是一種網路介面,可讓您從虛擬網路使用私人IP位址安全地連線。 透過 Private Link,您可以安全地從虛擬網路存取我們的服務作為第一方服務,而不需要通過公用功能變數名稱系統(DNS)。 本文說明如何建立、測試及管理 Azure Health Data Services 的私人端點。
注意
一旦啟用 Private Link,或 Azure Health Data Services 都無法從一個資源群組或訂用帳戶移至另一個資源群組。 若要進行移動,請先刪除 Private Link,然後移動 Azure Health Data Services。 移動完成後,建立新的 Private Link。 接下來,先評估潛在的安全性影響,再刪除 Private Link。
如果您要匯出已啟用的稽核記錄和計量,請透過入口網站中的 診斷設定 來更新匯出設定。
必要條件
建立私人端點之前,必須先建立下列 Azure 資源:
- 資源群組 – 包含虛擬網路和私人端點的 Azure 資源群組。
- 工作區 – FHIR® 和 DICOM® 服務實例的邏輯容器。
- 虛擬網絡 – 用戶端服務和私人端點連線的虛擬網路。
如需詳細資訊,請參閱 Private Link 檔。
建立私人端點
若要建立私人端點,在工作區或工作區所在的資源群組上具有角色型訪問控制 (RBAC) 許可權的使用者可以使用 Azure 入口網站。 建議使用 Azure 入口網站,因為它會自動建立和設定 私用 DNS 區域。 如需詳細資訊,請參閱 Private Link 快速入門指南。
私人連結是在工作區層級設定,而且會自動針對工作區內的所有 FHIR 和 DICOM 服務進行設定。
有兩種方式可以建立私人端點。 自動核准流程可讓工作區具有 RBAC 許可權的使用者建立私人端點,而不需要核准。 手動核准流程可讓沒有工作區許可權的使用者要求工作區或資源群組的擁有者核准私人端點。
注意
為 Azure Health Data Services 建立核准的私人端點時,會自動停用其公用流量。
自動核准
請確定新私人端點的區域與您虛擬網路的區域相同。 工作區的區域可能不同。
針對資源類型,從下拉式清單中搜尋並選取 [Microsoft.HealthcareApis/workspaces ]。 針對資源,選取資源群組中的工作區。 系統會自動填入目標子資源 healthcareworkspace。
手動核准
若要手動核准,請選取 [資源] 底下的第二個選項, 依資源標識符或別名聯機到 Azure 資源。 針對資源標識符,輸入 subscriptions/{subscriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}。 針對 [目標] 子資源,輸入 healthcareworkspace ,如 [自動核准]。
Private Link DNS 設定
部署完成之後,選取資源群組中的 Private Link 資源。 從 [設定] 功能表開啟 DNS 組態 。 您可以找到工作區的 DNS 記錄和私人 IP 位址,以及 FHIR 和 DICOM 服務。
Private Link 對應
部署完成之後,請流覽至在部署中建立的新資源群組。 您應該會看到兩個私人 DNS 區域記錄,每個服務各有一筆。 如果您在工作區中有更多 FHIR 和 DICOM 服務,則會為其建立更多 DNS 區域記錄。
從 [設定] 中選取 [虛擬網络連結]。 請注意,FHIR 服務已連結至虛擬網路。
同樣地,您可以看到 DICOM 服務的私人連結對應。
此外,您可以看到 DICOM 服務已連結至虛擬網路。
測試私人端點
若要確認您的服務在停用公用網路存取之後未接收公用流量,請選取 /metadata
FHIR 服務的端點,或 DICOM 服務的 /health/check 端點,而且您會收到訊息 403 禁止。
在封鎖公用流量之前,更新公用網路存取旗標最多可能需要 5 分鐘的時間。
重要
每次將新的服務新增至已啟用 Private Link 的工作區時,請等候布建完成。 如果工作區中新新增的服務未更新 DNS A 記錄,請重新整理私人端點。 如果您的私人 DNS 區域中未更新 DNS A 記錄,對新新增服務的要求將不會超過 Private Link。
若要確保您的私人端點可以將流量傳送至您的伺服器:
- 建立連線到您私人端點所設定之虛擬網路和子網的虛擬機(VM)。 若要確保您的來自 VM 的流量僅使用專用網,請使用網路安全組 (NSG) 規則停用輸出因特網流量。
- 遠端桌面通訊協定 (RDP) 進入 VM。
- 從 VM 存取 FHIR 伺服器的
/metadata
端點。 您應該會收到功能語句作為回應。