Configurar link privado

Importante

A API do Azure para FHIR será desativada em 30 de setembro de 2026. Siga as estratégias de migração para fazer a transição para o serviço FHIR® dos Serviços de Dados de Saúde do Azure até essa data. Devido à desativação da API do Azure para FHIR, novas implantações não serão permitidas a partir de 1 de abril de 2025. O serviço FHIR dos Serviços de Dados de Saúde do Azure é a versão evoluída da API do Azure para FHIR que permite aos clientes gerir serviços FHIR, DICOM e MedTech com integrações noutros serviços do Azure.

O link privado permite que você acesse a API do Azure para FHIR® por meio de um ponto de extremidade privado, que é uma interface de rede que o conecta de forma privada e segura usando um endereço IP privado de sua rede virtual. Com link privado, você pode acessar nossos serviços com segurança a partir de sua rede virtual como um serviço primário sem ter que passar por um Sistema de Nomes de Domínio (DNS) público. Este artigo descreve como criar, testar e gerenciar seu ponto de extremidade privado para a API do Azure para FHIR.

Nota

Nem o Link Privado nem a API do Azure para FHIR podem ser movidos de um grupo de recursos ou assinatura para outro depois que o Link Privado estiver habilitado. Para fazer uma movimentação, exclua primeiro o Link Privado e, em seguida, mova a API do Azure para FHIR. Crie um novo Link Privado assim que a mudança for concluída. Avalie possíveis ramificações de segurança antes de excluir o Private Link.

Se a exportação de logs e métricas de auditoria estiver habilitada para a API do Azure para FHIR, atualize a configuração de exportação por meio das Configurações de Diagnóstico do portal.

Pré-requisitos

Antes de criar um ponto de extremidade privado, você precisa criar recursos do Azure primeiro.

  • Grupo de Recursos – O grupo de recursos do Azure que contém a rede virtual e o ponto de extremidade privado.
  • API do Azure para FHIR – O recurso FHIR que você gostaria de colocar atrás de um ponto de extremidade privado.
  • Rede Virtual (VNet) – A VNet à qual os serviços do cliente e o Ponto Final Privado estarão conectados.

Para obter mais informações, consulte Documentação de link privado.

Criar ponto de extremidade privado

Para criar um ponto de extremidade privado, um desenvolvedor com permissões RBAC (controle de acesso baseado em função) no recurso FHIR pode usar o portal do Azure, o Azure PowerShell ou a CLI do Azure. Este artigo orienta você pelas etapas de uso do portal do Azure. O portal do Azure é recomendado, pois automatiza a criação e a configuração da Zona DNS Privada. Para obter mais informações, consulte Guias de início rápido de links privados.

Há duas maneiras de criar um ponto de extremidade privado. O fluxo de Aprovação Automática permite que um usuário com permissões RBAC no recurso FHIR crie um ponto de extremidade privado sem a necessidade de aprovação. O fluxo de Aprovação Manual permite que um usuário sem permissões no recurso FHIR solicite que um ponto de extremidade privado seja aprovado pelos proprietários do recurso FHIR.

Nota

Quando um ponto de extremidade privado aprovado é criado para a API do Azure para FHIR, o tráfego público para ele é automaticamente desabilitado.

Aprovação automática

Verifique se a região do novo ponto de extremidade privado é a mesma que a região da sua rede virtual. A região para o seu recurso FHIR pode ser diferente.

Guia Noções básicas do portal do Azure

Para o tipo de recurso, pesquise e selecione Microsoft.HealthcareApis/services. Para o recurso, selecione o recurso FHIR. Para o subrecurso de destino, selecione FHIR.

Guia Recursos do portal do Azure

Se não tiver uma Zona DNS Privada configurada, selecione (Novo)privatelink.azurehealthcareapis.com. Se já tiver a sua Zona DNS Privada configurada, pode selecioná-la na lista. Deve ser no formato de privatelink.azurehealthcareapis.com.

Guia Configuração do portal do Azure

Depois que a implantação for concluída, você poderá voltar para a guia Conexões de ponto de extremidade privadas, da qual você notará Aprovado como o estado da conexão.

Aprovação Manual

Para aprovação manual, selecione a segunda opção em Recurso, "Conectar-se a um recurso do Azure por ID de recurso ou alias". Para o subrecurso Destino, digite "fhir" como em Aprovação automática.

Aprovação Manual

Após a conclusão da implantação, você pode voltar para a guia "Conexões de ponto de extremidade privadas", na qual você pode Aprovar, Rejeitar ou Remover sua conexão.

Opções

VNet Peering

Com o Private Link configurado, você pode acessar o servidor FHIR na mesma VNet ou em uma VNet diferente emparelhada à VNet do servidor FHIR. Use as etapas a seguir para configurar o emparelhamento VNet e a configuração da zona DNS de Link Privado.

Configurar emparelhamento de rede virtual

Você pode configurar o emparelhamento de VNet a partir do portal ou usando PowerShell, scripts CLI e um modelo do Azure Resource Manager (ARM). A segunda VNet pode estar na mesma assinatura ou em assinaturas diferentes, e nas mesmas regiões ou em regiões diferentes. Certifique-se de conceder a função de colaborador da rede. Para obter mais informações sobre emparelhamento de rede virtual, consulte Criar um emparelhamento de rede virtual.

No portal do Azure, selecione o grupo de recursos do servidor FHIR. Selecione e abra a zona DNS privado, privatelink.azurehealthcareapis.com. Selecione Links de rede virtual na seção de configurações . Selecione o botão Adicionar para adicionar sua segunda VNet à zona DNS privada. Digite o nome do link de sua escolha, selecione a assinatura e a rede virtual que você criou. Opcionalmente, você pode inserir o ID do recurso para a segunda VNet. Selecione Ativar registro automático, que adiciona automaticamente um registro DNS para sua VM conectada à segunda VNet. Quando você exclui um link de rede virtual, o registro DNS da VM também é excluído.

Para obter mais informações sobre como uma zona DNS de link privado resolve o endereço IP do ponto de extremidade privado para o FQDN (nome de domínio totalmente qualificado) do recurso, como o servidor FHIR, consulte Configuração de DNS do Ponto de Extremidade Privado do Azure.

Adicionar link VNet.

Você pode adicionar mais links de rede virtual, se necessário, e exibir todos os links de rede virtual adicionados a partir do portal.

Links VNet de link privado.

Na folha Visão geral, você pode exibir os endereços IP privados do servidor FHIR e as VMs conectadas a redes virtuais emparelhadas.

Endereços IP privados FHIR e VM de link privado.

Gerenciar endpoint privado

Vista

Os pontos de extremidade privados e o controlador de interface de rede (NIC) associado são visíveis no portal do Azure a partir do grupo de recursos em que foram criados.

Ver em recursos

Delete

Os pontos de extremidade privados só podem ser excluídos do portal do Azure na folha Visão geral ou selecionando a opção Remover na guia Conexões de ponto de extremidade privadas de rede. Selecionar Remover exclui o ponto de extremidade privado e a NIC associada. Se você excluir todos os pontos de extremidade privados para o recurso FHIR e a rede pública, o acesso será desativado e nenhuma solicitação será feita ao seu servidor FHIR.

Excluir ponto de extremidade privado

Para garantir que seu servidor FHIR não esteja recebendo tráfego público depois de desabilitar o acesso à rede pública, selecione o ponto de extremidade /metadata para seu servidor no seu computador. Você deve receber um 403 Proibido.

Nota

Pode levar até 5 minutos após a atualização do sinalizador de acesso à rede pública antes que o tráfego público seja bloqueado.

Criar e usar uma VM

Para garantir que seu ponto de extremidade privado possa enviar tráfego para seu servidor:

  1. Crie uma máquina virtual (VM) conectada à rede virtual e à sub-rede em que seu ponto de extremidade privado está configurado. Para garantir que o tráfego da VM esteja usando apenas a rede privada, desative o tráfego de saída da Internet usando a regra NSG (grupo de segurança de rede).
  2. RDP na VM.
  3. Aceda ao ponto de extremidade /metadata do seu servidor FHIR a partir da VM. Você deve receber a declaração de capacidade como resposta.

Usar nslookup

Você pode usar a ferramenta nslookup para verificar a conectividade. Se o link privado estiver configurado corretamente, você verá que a URL do servidor FHIR é resolvida para o endereço IP privado válido, da seguinte maneira. Observe que o endereço IP 168.63.129.16 é um endereço IP público virtual usado no Azure. Para obter mais informações, consulte O que é o endereço IP 168.63.129.16.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Se o link privado não estiver configurado corretamente, você poderá ver o endereço IP público e alguns aliases, incluindo o ponto de extremidade do Gerenciador de Tráfego. Isso indica que a zona DNS de link privado não pode ser resolvida para o endereço IP privado válido do servidor FHIR. Quando o emparelhamento de rede virtual é configurado, um motivo possível é que a segunda rede virtual emparelhada não foi adicionada à zona DNS de link privado. Como resultado, você vê o erro HTTP 403, "Acesso a xxx foi negado", ao tentar acessar o ponto de extremidade /metadata do servidor FHIR.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Para obter mais informações, consulte Solucionar problemas de conectividade do Azure Private Link.

Próximos passos

Neste artigo, você aprendeu como configurar o link privado e o emparelhamento de VNet. Você também aprendeu como solucionar problemas de configurações de link privado e VNet.

Com base na configuração do seu link privado e para obter mais informações sobre como registrar seus aplicativos, consulte o seguinte.

Nota

FHIR® é uma marca registada da HL7 e é utilizada com a permissão da HL7.