프라이빗 링크 구성

  • 아티클

Important

Azure API for FHIR은 2026년 9월 30일에 사용 중지됩니다. 해당 날짜까지 마이그레이션 전략에 따라 Azure Health Data Services FHIR® 서비스로 전환합니다. Azure API for FHIR의 사용 중지로 인해 2025년 4월 1일부터 신규 배포가 허용되지 않습니다. Azure Health Data Services FHIR 서비스는 고객이 다른 Azure 서비스에 통합하여 FHIR, DICOM 및 MedTech 서비스를 관리할 수 있도록 하는 Azure API for FHIR의 진화된 버전입니다.

프라이빗 링크를 사용하면 가상 네트워크의 개인 IP 주소를 사용하여 개인 및 안전하게 연결하는 네트워크 인터페이스인 프라이빗 엔드포인트를 통해 Azure API for FHIR®에 액세스할 수 있습니다. 프라이빗 링크를 사용하면 DNS(공용 도메인 이름 시스템)를 거치지 않고도 가상 네트워크에서 자사 서비스로 안전하게 서비스에 액세스할 수 있습니다. 이 문서에서는 Azure API for FHIR에 대한 프라이빗 엔드포인트를 만들고, 테스트하고, 관리하는 방법을 설명합니다.

참고 항목

Private Link를 사용하도록 설정하면 Private Link 또는 Azure API for FHIR을 한 리소스 그룹 또는 구독에서 다른 리소스 그룹으로 이동할 수 없습니다. 이동하려면 먼저 Private Link를 삭제한 다음 Azure API for FHIR을 이동합니다. 이동이 완료되면 새 Private Link를 만듭니다. Private Link를 삭제하기 전에 잠재적인 보안 효과를 평가합니다.

Azure API for FHIR에 감사 로그 및 메트릭을 내보낼 수 있는 경우 포털에서 진단 설정을 통해 내보내기 설정을 업데이트합니다.

필수 조건

프라이빗 엔드포인트를 만들기 전에 먼저 Azure 리소스를 만들어야 합니다.

  • 리소스 그룹 – 가상 네트워크 및 프라이빗 엔드포인트를 포함하는 Azure 리소스 그룹입니다.
  • Azure API for FHIR – 프라이빗 엔드포인트 뒤에 배치하려는 FHIR 리소스입니다.
  • VNet(Virtual Network) – 클라이언트 서비스와 프라이빗 엔드포인트가 연결될 VNet입니다.

자세한 내용은 Private Link 설명서를 참조 하세요.

프라이빗 엔드포인트 만들기

프라이빗 엔드포인트를 만들기 위해 FHIR 리소스에 대한 RBAC(역할 기반 액세스 제어) 권한이 있는 개발자는 Azure Portal, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다. 이 문서에서는 Azure Portal 사용 단계를 안내합니다. Azure Portal은 프라이빗 DNS 영역의 생성 및 구성을 자동화하기 때문에 권장됩니다. 자세한 내용은 Private Link 빠른 시작 가이드를 참조 하세요.

프라이빗 엔드포인트를 만드는 방법에는 두 가지가 있습니다. 자동 승인 흐름을 사용하면 FHIR 리소스에 대한 RBAC 권한이 있는 사용자가 승인 없이 프라이빗 엔드포인트를 만들 수 있습니다. 수동 승인 흐름을 사용하면 FHIR 리소스에 대한 권한이 없는 사용자가 FHIR 리소스 소유자가 프라이빗 엔드포인트를 승인하도록 요청할 수 있습니다.

참고 항목

승인된 프라이빗 엔드포인트가 Azure API for FHIR에 대해 만들어지면 해당 엔드포인트에 대한 공용 트래픽이 자동으로 비활성화됩니다.

자동 승인

새 프라이빗 엔드포인트의 지역이 가상 네트워크의 지역과 동일한지 확인합니다. FHIR 리소스의 지역은 다를 수 있습니다.

Azure Portal 기본 사항 탭

리소스 종류에 대해 Microsoft.HealthcareApis/services를 검색하고 선택합니다. 리소스의 경우 FHIR 리소스를 선택합니다. 대상 하위 리소스의 경우 FHIR을 선택합니다.

Azure Portal 리소스 탭

기존 프라이빗 DNS 영역을 설정하지 않은 경우 (새로 만들기) privatelink.azurehealthcareapis.com 선택합니다. 프라이빗 DNS 영역을 이미 구성한 경우 목록에서 선택할 수 있습니다. privatelink.azurehealthcareapis.com 형식이어야 합니다.

Azure Portal 구성 탭

배포가 완료되면 프라이빗 엔드포인트 연결 탭으로 돌아가서 승인됨을 연결 상태로 확인할 있습니다.

수동 승인

수동 승인을 위해 리소스에서 두 번째 옵션인 "리소스 ID 또는 별칭을 사용하여 Azure 리소스에 연결"을 선택합니다. 대상 하위 리소스의 경우 자동 승인에서와 같이 "fhir"을 입력합니다.

수동 승인

배포가 완료되면 "프라이빗 엔드포인트 연결" 탭으로 돌아가서 연결을 승인, 거부 또는 제거할 수 있습니다.

옵션

VNet 피어링

Private Link를 구성하면 동일한 VNet의 FHIR 서버 또는 FHIR 서버용 VNet에 피어링된 다른 VNet에 액세스할 수 있습니다. 다음 단계를 사용하여 VNet 피어링 및 Private Link DNS 영역 구성을 구성합니다.

VNet 피어링 구성

포털에서 또는 PowerShell, CLI 스크립트 및 ARM(Azure Resource Manager) 템플릿을 사용하여 VNet 피어링을 구성할 수 있습니다. 두 번째 VNet은 동일하거나 다른 구독 및 동일하거나 다른 지역에 있을 수 있습니다. 네트워크 기여자 역할을 부여해야 합니다. VNet 피어링에 대한 자세한 내용은 가상 네트워크 피어링 만들기를 참조 하세요.

Azure Portal에서 FHIR 서버의 리소스 그룹을 선택합니다. privatelink.azurehealthcareapis.com 프라이빗 DNS 영역을 선택하고 엽니다. 설정 섹션에서 가상 네트워크 링크를 선택합니다. 추가 단추를 선택하여 프라이빗 DNS 영역에 두 번째 VNet을 추가합니다. 선택한 링크 이름을 입력하고, 만든 구독 및 VNet을 선택합니다. 필요에 따라 두 번째 VNet에 대한 리소스 ID를 입력할 수 있습니다. 자동 등록 사용을 선택합니다. 그러면 두 번째 VNet에 연결된 VM에 대한 DNS 레코드가 자동으로 추가됩니다. VNet 링크를 삭제하면 VM에 대한 DNS 레코드도 삭제됩니다.

프라이빗 링크 DNS 영역이 프라이빗 엔드포인트 IP 주소를 FHIR 서버와 같은 리소스의 FQDN(정규화된 도메인 이름)으로 확인하는 방법에 대한 자세한 내용은 Azure 프라이빗 엔드포인트 DNS 구성을 참조하세요.

VNet 링크를 추가합니다.

필요한 경우 VNet 링크를 더 추가하고 포털에서 추가한 모든 VNet 링크를 볼 수 있습니다.

Private Link VNet 링크.

개요 블레이드에서 피어링된 가상 네트워크에 연결된 VM 및 FHIR 서버의 개인 IP 주소를 볼 수 있습니다.

Private Link FHIR 및 VM 개인 IP 주소.

프라이빗 엔드포인트 관리

View

프라이빗 엔드포인트 및 연결된 NIC(네트워크 인터페이스 컨트롤러)는 Azure Portal에서 만든 리소스 그룹에서 볼 수 있습니다.

리소스에서 보기

삭제

프라이빗 엔드포인트는 개요 블레이드에서 또는 네트워킹 프라이빗 엔드포인트 연결 탭에서 제거 옵션을 선택하여 Azure Portal에서만 삭제할 수 있습니다. 제거선택하면 프라이빗 엔드포인트와 연결된 NIC가 삭제됩니다. FHIR 리소스 및 공용 네트워크에 대한 모든 프라이빗 엔드포인트를 삭제하면 액세스가 비활성화되고 FHIR 서버에 대한 요청이 없습니다.

프라이빗 엔드포인트 삭제

공용 네트워크 액세스를 사용하지 않도록 설정하면 FHIR 서버가 공용 트래픽을 수신하지 않도록 하려면 컴퓨터에서 서버에 대한 /metadata 엔드포인트를 선택합니다. 403 사용할 수 없음을 받아야 합니다.

참고 항목

공용 트래픽이 차단되기 전에 공용 네트워크 액세스 플래그를 업데이트한 후 최대 5분이 걸릴 수 있습니다.

VM 만들기 및 사용

프라이빗 엔드포인트가 서버에 트래픽을 보낼 수 있도록 하려면 다음을 수행합니다.

  1. 프라이빗 엔드포인트가 구성된 가상 네트워크 및 서브넷에 연결된 VM(가상 머신)을 만듭니다. VM의 트래픽이 프라이빗 네트워크만 사용하고 있는지 확인하려면 NSG(네트워크 보안 그룹) 규칙을 사용하여 아웃바운드 인터넷 트래픽을 사용하지 않도록 설정합니다.
  2. VM에 RDP를 입력합니다.
  3. VM에서 FHIR 서버의 /metadata 엔드포인트에 액세스합니다. 기능 문을 응답으로 받아야 합니다.

nslookup 사용

nslookup 도구를 사용하여 연결을 확인할 수 있습니다. 프라이빗 링크가 제대로 구성된 경우 다음과 같이 FHIR 서버 URL이 유효한 개인 IP 주소로 확인되는 것을 볼 수 있습니다. IP 주소 168.63.129.16 은 Azure에서 사용되는 가상 공용 IP 주소입니다. 자세한 내용은 IP 주소 168.63.129.16이란? 페이지를 참조하세요.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

프라이빗 링크가 제대로 구성되지 않은 경우 공용 IP 주소와 Traffic Manager 엔드포인트를 포함한 몇 가지 별칭이 대신 표시되어 있을 수 있습니다. 이는 프라이빗 링크 DNS 영역이 FHIR 서버의 유효한 개인 IP 주소로 확인할 수 없다는 것을 나타냅니다. VNet 피어링이 구성된 경우 한 가지 가능한 이유는 두 번째 피어링된 VNet이 프라이빗 링크 DNS 영역에 추가되지 않았기 때문입니다. 결과적으로 FHIR 서버의 /metadata 엔드포인트에 액세스하려고 할 때 "xxx에 대한 액세스가 거부되었습니다"라는 HTTP 오류 403이 표시됩니다.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

자세한 내용은 Azure Private Link 연결 문제 해결을 참조 하세요.

다음 단계

이 문서에서는 프라이빗 링크 및 VNet 피어링을 구성하는 방법을 알아보았습니다. 프라이빗 링크 및 VNet 구성 문제를 해결하는 방법도 알아보았습니다.

프라이빗 링크 설정 및 애플리케이션 등록에 대한 자세한 내용은 다음을 참조하세요.

참고 항목

FHIR®은 HL7의 등록 상표이며, HL7의 사용 허가 하에 사용됩니다.