Configuración del vínculo privado

Importante

Azure API for FHIR se retirará el 30 de septiembre de 2026. Siga las estrategias de migración para realizar la transición a servicio FHIR® de Azure Health Data Services en esa fecha. Debido a la retirada de Azure API for FHIR, no se permitirán nuevas implementaciones a partir del 1 de abril de 2025. El servicio FHIR de Azure Health Data Services es la versión evolucionada de la API de Azure para FHIR que permite a los clientes administrar FHIR, DICOM y los servicios de tecnologías médicas con integraciones en otros servicios de Azure.

Private Link le permite acceder a Azure API for FHIR® a través de un punto de conexión privado, que es una interfaz de red que le conecta de forma privada y segura mediante una dirección IP privada de la red virtual. Con private link, puede acceder a nuestros servicios de forma segura desde su red virtual como servicio de primera entidad sin tener que pasar por un sistema de nombres de dominio (DNS) público. En este artículo se describe cómo crear, probar y administrar el punto de conexión privado para Azure API for FHIR.

Nota:

Ninguna de las instancias de Private Link ni de la API de Azure para FHIR se pueden migrar de un grupo de recursos a otro o de una suscripción a otra, una vez que la instancia de Private Link está habilitada. Para realizar una migración, primero elimine la instancia de Private Link y, luego, mueva Azure API for FHIR. Cree una instancia de Private Link nueva una vez que se complete la migración. Evalúe las posibles ramificaciones de seguridad antes de eliminar la instancia de Private Link.

Si la exportación de registros y métricas de auditoría está habilitada para Azure API for FHIR, actualice la configuración de exportación a través de la configuración de diagnóstico desde el portal.

Requisitos previos

Antes de crear un punto de conexión privado, primero debe crear recursos de Azure.

  • Grupo de recursos: el grupo de recursos de Azure que contiene la red virtual y el punto de conexión privado.
  • Azure API for FHIR: el recurso FHIR que quiere colocar detrás de un punto de conexión privado.
  • Red virtual (VNet): la red virtual a la que se conectarán los servicios de cliente y el punto de conexión privado.

Para más información, consulte Documentación de Private Link.

Creación de un punto de conexión privado

Para crear un punto de conexión privado, un desarrollador con permisos de control de acceso basado en rol (RBAC) en el recurso FHIR puede usar Azure Portal, Azure PowerShell o la CLI de Azure. Este artículo le guía por los pasos descritos en Azure Portal. Se recomienda Azure Portal, ya que automatiza la creación y configuración de la zona de DNS privado. Para más información, consulte las guías de inicio rápido de Private Link.

Hay dos formas de crear un punto de conexión privado. El flujo de aprobación automática permite a un usuario con permisos de RBAC en el recurso FHIR crear un punto de conexión privado sin necesidad de aprobación. El flujo de aprobación manual permite a un usuario sin permisos en el recurso FHIR solicitar un punto de conexión privado para que los propietarios del recurso FHIR lo aprueben.

Nota:

Cuando se crea un punto de conexión privado aprobado para Azure API for FHIR, el tráfico público hacia él se deshabilita automáticamente.

Aprobación automática

Asegúrese de que la región del punto de conexión privado nuevo es la misma que la de la red virtual. La región del recurso FHIR puede ser diferente.

Pestaña Aspectos básicos de Azure Portal

En el caso del tipo de recurso, busque y seleccione Microsoft.HealthcareApis/services. Para el recurso, seleccione el recurso FHIR. En subrecurso de destino, seleccione FHIR.

Pestaña Recursos de Azure Portal

Si no tiene configurada una DNS privado zona existente, seleccione (Nuevo)privatelink.azurehealthcareapis.com. Si ya ha configurado la zona de DNS privado, puede seleccionarla en la lista. Debe tener el formato privatelink.azurehealthcareapis.com.

Pestaña Configuración de Azure Portal

Una vez que se completó la implementación, puede volver a la pestaña Conexiones de punto de conexión privado, en la que verá Aprobado como estado de la conexión.

Aprobación manual

Para la aprobación manual, seleccione la segunda opción en Recurso, "Conéctese a un recurso de Azure por identificador de recurso o alias". En Subrecurso de destino, escriba "fhir" como en Aprobación automática.

Aprobación manual

Una vez que se ha completado la implementación, puede volver a la pestaña "Conexiones de punto de conexión privado", en la que puede Aprobar, Rechazar o Quitar la conexión.

Opciones

Emparejamiento de redes virtuales

Con Private Link configurado, puede acceder al servidor FHIR en la misma red virtual o en una red virtual diferente que esté emparejada con la red virtual para el servidor FHIR. Siga estos pasos para configurar el emparejamiento de redes virtuales y la configuración de la zona DNS de Private Link.

Configuración del emparejamiento de red virtual

Puede configurar el emparejamiento de red virtual desde el portal o mediante PowerShell, scripts de la CLI y una plantilla de Azure Resource Manager (ARM). La segunda red virtual puede estar en las mismas o diferentes suscripciones, y en las mismas regiones o diferentes. Asegúrese de conceder el rol Colaborador de red. Para más información sobre el emparejamiento de VNet, consulte Creación de un emparejamiento de red virtual.

En Azure Portal, seleccione el grupo de recursos del servidor FHIR. Seleccione y abra la zona de DNS privado, privatelink.azurehealthcareapis.com. Seleccione Vínculos de red virtual en la sección configuración . Seleccione el botón Agregar para agregar la segunda red virtual a la zona DNS privada. Escriba el nombre del vínculo que prefiera, seleccione la suscripción y la red virtual que creó. Opcionalmente, puede escribir el identificador de recurso de la segunda red virtual. Seleccione Habilitar registro automático, que agrega automáticamente un registro DNS para la máquina virtual conectada a la segunda red virtual. Al eliminar un vínculo de red virtual, también se elimina el registro DNS de la máquina virtual.

Para más información sobre cómo una zona DNS de vínculo privado resuelve la dirección IP del punto de conexión privado en el nombre de dominio completo (FQDN) del recurso, como el servidor FHIR, consulte Configuración de DNS del punto de conexión privado de Azure.

Agregar vínculo de red virtual.

Puede agregar más vínculos de red virtual si es necesario y ver todos los vínculos de red virtual que agregó desde el portal.

Vínculos de red virtual de Private Link.

En la hoja Información general, puede ver las direcciones IP privadas del servidor FHIR y las máquinas virtuales conectadas a redes virtuales emparejadas.

Direcciones IP privadas de FHIR y VM de Private Link.

Administración de un punto de conexión privado

Ver

Los puntos de conexión privados y la controladora de interfaz de red (NIC) asociada son visibles en Azure Portal desde el grupo de recursos en el que se crearon.

Visualización de recursos

Eliminar

Los puntos de conexión privados solo se pueden eliminar de Azure Portal en la hoja Información general o seleccionando la opción Quitar en la pestaña Conexiones de punto de conexión privado de red. Al seleccionar Quitar, se elimina el punto de conexión privado y la NIC asociada. Si elimina todos los puntos de conexión privados del recurso FHIR y el acceso a la red pública está deshabilitado, no llegará ninguna solicitud al servidor FHIR.

Eliminación del punto de conexión privado

Para asegurarse de que el servidor FHIR no recibe tráfico público después de deshabilitar el acceso a la red pública, seleccione el punto de conexión /metadata del servidor desde el equipo. Debería recibir un mensaje 403 Prohibido.

Nota:

Pueden pasar hasta 5 minutos después de actualizar la marca de acceso a la red pública antes de que se bloquee el tráfico público.

Creación y uso de una máquina virtual

Para asegurarse de que el punto de conexión privado puede enviar tráfico al servidor:

  1. Cree una máquina virtual (VM) que esté conectada a la red virtual y la subred en la que está configurado el punto de conexión privado. Para asegurarse de que el tráfico de la máquina virtual solo usa la red privada, deshabilite el tráfico saliente de Internet a través de una regla de grupo de seguridad de red (NSG).
  2. Use RDP en la máquina virtual.
  3. Acceda al punto de conexión /metadata del servidor de FHIR desde la máquina virtual. Debe recibir la instrucción de funcionalidad como respuesta.

Uso de nslookup

Puede usar la herramienta nslookup para comprobar la conectividad. Si el vínculo privado está configurado correctamente, debería ver que la dirección URL del servidor FHIR se resuelve en la dirección IP privada válida, como se indica a continuación. Tenga en cuenta que la dirección IP 168.63.129.16 es una dirección IP pública virtual que se usa en Azure. Para más información, vea ¿Qué es la dirección IP 168.63.129.16?

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Si el vínculo privado no está configurado correctamente, es posible que vea la dirección IP pública y algunos alias, incluido el punto de conexión de Traffic Manager. Esto indica que la zona DNS de vínculo privado no se puede resolver en la dirección IP privada válida del servidor FHIR. Cuando se configura el emparejamiento de VNet, una posible razón es que la segunda red virtual emparejada no se ha agregado a la zona DNS de vínculo privado. Como resultado, verá el error HTTP 403, "Se denegó el acceso a xxx", al intentar acceder al punto de conexión /metadata del servidor FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Para más información, consulte Solución de problemas de conectividad de Azure Private Link.

Pasos siguientes

En este artículo, ha aprendido a configurar el vínculo privado y el emparejamiento de red virtual. También ha aprendido a solucionar problemas de las configuraciones de vínculo privado y red virtual.

En función de la configuración de Private Link y para obtener más información sobre cómo registrar las aplicaciones, consulte lo siguiente.

Nota:

FHIR® es una marca registrada de HL7 y se usa con su permiso.