Azure Health Data Services에 대한 Private Link 구성

  • 아티클

Private Link를 사용하면 프라이빗 엔드포인트를 통해 Azure Health Data Services에 액세스할 수 있습니다. Private Link는 가상 네트워크의 개인 IP 주소를 사용하여 개인 및 안전하게 연결하는 네트워크 인터페이스입니다. Private Link를 사용하면 공용 DO기본 DNS(이름 시스템)를 거치지 않고도 가상 네트워크에서 자사 서비스로 안전하게 서비스에 액세스할 수 있습니다. 이 문서에서는 Azure Health Data Services에 대한 프라이빗 엔드포인트를 만들고, 테스트하고, 관리하는 방법을 설명합니다.

참고 항목

Private Link를 사용하도록 설정하면 Private Link 또는 Azure Health Data Services를 한 리소스 그룹 또는 구독에서 다른 리소스 그룹으로 이동할 수 없습니다. 이동하려면 먼저 Private Link를 삭제한 다음 Azure Health Data Services를 이동합니다. 이동이 완료된 후 새 Private Link를 만듭니다. 다음으로, Private Link를 삭제하기 전에 잠재적인 보안 효과를 평가합니다.

사용하도록 설정된 감사 로그 및 메트릭을 내보내는 경우 포털에서 진단 설정 통해 내보내기 설정을 업데이트합니다.

필수 조건

프라이빗 엔드포인트를 만들기 전에 먼저 다음 Azure 리소스를 만들어야 합니다.

  • 리소스 그룹 – 가상 네트워크 및 프라이빗 엔드포인트를 포함하는 Azure 리소스 그룹입니다.
  • 작업 영역 – FHIR® 및 DICOM® 서비스 인스턴스에 대한 논리 컨테이너입니다.
  • Virtual Network – 클라이언트 서비스 및 프라이빗 엔드포인트가 연결된 가상 네트워크입니다.

자세한 내용은 Private Link 설명서를 참조 하세요.

프라이빗 엔드포인트 만들기

프라이빗 엔드포인트를 만들려면 작업 영역 또는 작업 영역이 있는 리소스 그룹에 대한 RBAC(역할 기반 액세스 제어) 권한이 있는 사용자는 Azure Portal을 사용할 수 있습니다. 프라이빗 DNS 영역의 생성 및 구성을 자동화하기 때문에 Azure Portal을 사용하는 것이 좋습니다. 자세한 내용은 Private Link 빠른 시작 가이드를 참조 하세요.

프라이빗 링크는 작업 영역 수준에서 구성되며 작업 영역 내의 모든 FHIR 및 DICOM 서비스에 대해 자동으로 구성됩니다.

프라이빗 엔드포인트를 만드는 방법에는 두 가지가 있습니다. 자동 승인 흐름을 사용하면 작업 영역에 대한 RBAC 권한이 있는 사용자가 승인 없이 프라이빗 엔드포인트를 만들 수 있습니다. 수동 승인 흐름을 사용하면 작업 영역에 대한 권한이 없는 사용자가 작업 영역 또는 리소스 그룹의 소유자가 프라이빗 엔드포인트를 승인하도록 요청할 수 있습니다.

참고 항목

Azure Health Data Services에 대해 승인된 프라이빗 엔드포인트를 만들면 해당 엔드포인트에 대한 공용 트래픽이 자동으로 비활성화됩니다.

자동 승인

새 프라이빗 엔드포인트의 지역이 가상 네트워크의 지역과 동일한지 확인합니다. 작업 영역의 지역은 다를 수 있습니다.

Azure Portal 기본 사항 탭의 이미지를 보여 주는 스크린샷

리소스 종류에 대해 드롭다운 목록에서 Microsoft.HealthcareApis/작업 영역을 검색하고 선택합니다. 리소스의 경우 리소스 그룹에서 작업 영역을 선택합니다. 대상 하위 리소스인 healthcareworkspace가 자동으로 채워집니다.

Azure Portal 리소스 탭의 이미지를 보여 주는 스크린샷

수동 승인

수동 승인을 위해 리소스 ID 또는 별칭을 사용하여 Azure 리소스에 커넥트 리소스에서 두 번째 옵션을 선택합니다. 리소스 ID에 대해 subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}을 입력합니다. 대상 하위 리소스의 경우 자동 승인에서와 같이 healthcareworkspace를 입력합니다.

수동 승인 리소스 탭의 화면 이미지입니다.

배포가 완료되면 리소스 그룹에서 Private Link 리소스를 선택합니다. 설정 메뉴에서 DNS 구성을 엽니다. 작업 영역에 대한 DNS 레코드 및 개인 IP 주소와 FHIR 및 DICOM 서비스를 찾을 수 있습니다.

Azure Portal DNS 구성의 이미지를 보여 주는 스크린샷

배포가 완료되면 배포의 일부로 만든 새 리소스 그룹을 찾습니다. 두 개의 프라이빗 DNS 영역 레코드와 각 서비스에 대해 하나씩 표시됩니다. 작업 영역에 더 많은 FHIR 및 DICOM 서비스가 있는 경우 더 많은 DNS 영역 레코드가 만들어집니다.

Private Link FHIR 매핑의 이미지를 보여 주는 스크린샷

설정 가상 네트워크 링크를 선택합니다. FHIR 서비스는 가상 네트워크에 연결되어 있습니다.

Private Link 가상 네트워크 링크 FHIR의 이미지를 보여 주는 스크린샷

마찬가지로 DICOM 서비스에 대한 프라이빗 링크 매핑을 볼 수 있습니다.

Private Link DICOM 매핑의 이미지를 보여 주는 스크린샷

또한 DICOM 서비스가 가상 네트워크에 연결된 것을 볼 수 있습니다.

Private Link 가상 네트워크 링크 DICOM의 이미지를 보여 주는 스크린샷.

프라이빗 엔드포인트 테스트

공용 네트워크 액세스를 사용하지 않도록 설정하면 서비스가 공용 트래픽을 수신하지 않는지 확인하려면 FHIR 서비스의 엔드포인트 또는 DICOM 서비스의 /health/검사 엔드포인트를 선택하면 /metadata 403 사용할 수 없음 메시지가 표시됩니다.

공용 트래픽이 차단되기 전에 공용 네트워크 액세스 플래그를 업데이트한 후 최대 5분이 걸릴 수 있습니다.

Important

새 서비스가 Private Link 사용 작업 영역에 추가될 때마다 프로비전이 완료될 때까지 기다립니다. 작업 영역에서 새로 추가된 서비스에 대한 DNS A 레코드가 업데이트되지 않는 경우 프라이빗 엔드포인트를 새로 고칩니다. DNS A 레코드가 프라이빗 DNS 영역에서 업데이트되지 않으면 새로 추가된 서비스에 대한 요청은 Private Link를 통해 이동되지 않습니다.

프라이빗 엔드포인트가 서버에 트래픽을 보낼 수 있도록 하려면 다음을 수행합니다.

  1. 프라이빗 엔드포인트가 구성된 가상 네트워크 및 서브넷에 연결된 VM(가상 머신)을 만듭니다. VM의 트래픽이 프라이빗 네트워크만 사용하고 있는지 확인하려면 NSG(네트워크 보안 그룹) 규칙을 사용하여 아웃바운드 인터넷 트래픽을 사용하지 않도록 설정합니다.
  2. VM에 대한 RDP(원격 데스크톱 프로토콜)입니다.
  3. VM에서 FHIR 서버의 /metadata 엔드포인트에 액세스합니다. 기능 문을 응답으로 받아야 합니다.

참고 항목

FHIR®은 HL7의 등록 상표이며, HL7의 사용 허가 하에 사용됩니다.

DICOM®은 의료 정보의 디지털 통신과 관련된 표준 간행물에 대한 미국 전기공업회의 등록 상표입니다.