Настройка приватного канала

  • Статья

Внимание

Поддержка Azure API для FHIR будет прекращена 30 сентября 2026 г. Следуйте стратегиям миграции, чтобы перейти в службу FHIR® служб azure Health Data Services к этой дате. Из-за прекращения поддержки Azure API для FHIR с 1 апреля 2025 г. новые развертывания будут невозможны. Служба FHIR служб работоспособности Azure — это развивающаяся версия Azure API для FHIR, которая позволяет клиентам управлять службами FHIR, DICOM и MedTech с интеграцией с другими службами Azure.

Приватный канал позволяет получить доступ к API Azure для FHIR® через частную конечную точку, которая является сетевым интерфейсом, который подключает вас приватно и безопасно с помощью частного IP-адреса из виртуальной сети. Приватный канал обеспечивает безопасный доступ к нашим службам из виртуальной сети в качестве первой службы без необходимости проходить через общедоступную систему доменных имен (DNS). В этой статье описывается создание, тестирование и управление частной конечной точкой для Azure API для FHIR.

Примечание.

Ни Приватный канал, ни Azure API для FHIR не могут быть перемещены из одной группы ресурсов или подписки в другую после включения Приватный канал. Чтобы выполнить перемещение, сначала удалите Приватный канал, а затем переместите API Azure для FHIR. Создайте новый Приватный канал после завершения перемещения. Оцените потенциальные последствия безопасности перед удалением Приватный канал.

Если экспорт журналов аудита и метрик включен для Azure API для FHIR, обновите параметр экспорта с помощью параметров диагностики на портале.

Необходимые компоненты

Прежде чем создавать частную конечную точку, необходимо сначала создать ресурсы Azure.

  • Группа ресурсов — группа ресурсов Azure, содержащая виртуальную сеть и частную конечную точку.
  • Azure API для FHIR — ресурс FHIR, который вы хотите поместить за частную конечную точку.
  • виртуальная сеть (виртуальная сеть) — виртуальная сеть, к которой будут подключены клиентские службы и частная конечная точка.

Дополнительные сведения см. в Приватный канал документации.

Создание частной конечной точки

Чтобы создать частную конечную точку, разработчик с разрешениями на управление доступом на основе ролей (RBAC) для ресурса FHIR может использовать портал Azure, Azure PowerShell или Azure CLI. В этой статье описаны действия по использованию портал Azure. портал Azure рекомендуется автоматизировать создание и настройку зоны Частная зона DNS. Дополнительные сведения см. в Приватный канал кратких руководствах по началу работы.

Существует два способа создания частной конечной точки. Поток автоматического утверждения позволяет пользователю с разрешениями RBAC на ресурсе FHIR создать частную конечную точку без необходимости утверждения. Поток утверждения вручную позволяет пользователю без разрешений на ресурс FHIR запрашивать частную конечную точку, утвержденную владельцами ресурса FHIR.

Примечание.

При создании утвержденной частной конечной точки для Azure API для FHIR общедоступный трафик автоматически отключается.

Автоматическое утверждение

Убедитесь, что регион для новой частной конечной точки совпадает с регионом для виртуальной сети. Регион для ресурса FHIR может отличаться.

Вкладка

Для типа ресурса выполните поиск и выберите Microsoft.HealthcareApis/services. Для ресурса выберите ресурс FHIR. Для целевого подресурса выберите FHIR.

Вкладка ресурсов портал Azure

Если у вас нет существующей зоны Частная зона DNS, нажмите кнопку (Создать)privatelink.azurehealthcareapis.com. Если у вас уже настроена зона Частная зона DNS, ее можно выбрать из списка. Он должен быть в формате privatelink.azurehealthcareapis.com.

Вкладка

После завершения развертывания вы можете вернуться на вкладку подключений к частной конечной точке, на которой вы заметите состояние "Утверждено " в качестве состояния подключения.

Утверждение вручную

Для утверждения вручную выберите второй параметр в разделе "Подключение к ресурсу Azure по идентификатору ресурса или псевдониму". Для целевого подресурса введите "fhir", как в автоматическом утверждении.

Утверждение вручную

После завершения развертывания можно вернуться на вкладку "Подключения к частной конечной точке", на которой можно утвердить, отклонить или удалить подключение.

Параметры

Пиринг виртуальных сетей

С настроенным Приватный канал вы можете получить доступ к серверу FHIR в той же виртуальной сети или другой виртуальной сети, которая подключена к виртуальной сети для сервера FHIR. Выполните следующие действия, чтобы настроить пиринг виртуальной сети и Приватный канал конфигурацию зоны DNS.

Настройка пиринга виртуальных сетей

Пиринг виртуальной сети можно настроить на портале или с помощью сценариев PowerShell, CLI и шаблона Azure Resource Manager (ARM). Вторая виртуальная сеть может находиться в одной или разных подписках, а также в одном или разных регионах. Убедитесь, что вы предоставляете роль участника сети. Дополнительные сведения о пиринге виртуальной сети см. в статье "Создание пиринга виртуальной сети".

В портал Azure выберите группу ресурсов сервера FHIR. Выберите и откройте зону Частная зона DNS, privatelink.azurehealthcareapis.com. Выберите ссылки виртуальной сети в разделе параметров . Нажмите кнопку "Добавить", чтобы добавить в частную зону DNS вторую виртуальную сеть. Введите имя ссылки, выберите подписку и созданную виртуальную сеть. При необходимости можно ввести идентификатор ресурса для второй виртуальной сети. Выберите "Включить автоматическую регистрацию", которая автоматически добавляет запись DNS для виртуальной машины, подключенной ко второй виртуальной сети. При удалении ссылки виртуальной сети запись DNS для виртуальной машины также удаляется.

Дополнительные сведения о том, как зона DNS приватного канала разрешает IP-адрес частной конечной точки в полное доменное имя ресурса (FQDN), например сервер FHIR, см . в разделе конфигурации DNS частной конечной точки Azure.

Добавьте ссылку на виртуальную сеть.

При необходимости можно добавить дополнительные ссылки виртуальной сети и просмотреть все ссылки виртуальной сети, добавленные на портале.

Приватный канал ссылки на виртуальную сеть.

В колонке "Обзор" можно просмотреть частные IP-адреса сервера FHIR и виртуальные машины, подключенные к одноранговым виртуальным сетям.

Приватный канал FHIR и частные IP-адреса виртуальных машин.

Управление частной конечной точкой

Представления

Частные конечные точки и связанный сетевой адаптер отображаются в портал Azure из группы ресурсов, в которую они были созданы.

Просмотр ресурсов

Удаление

Частные конечные точки можно удалить только из портал Azure из колонки "Обзор" или выбрав параметр "Удалить" на вкладке "Подключения к частной конечной точке сети". Выберите "Удалить частную конечную точку" и связанную сетевую карту. Если удалить все частные конечные точки в ресурс FHIR и общедоступную сеть, доступ отключен, а запрос не будет выполняться на сервер FHIR.

Удаление частной конечной точки

Чтобы убедиться, что сервер FHIR не получает общедоступный трафик после отключения доступа к общедоступной сети, выберите конечную точку /метаданных для сервера с компьютера. Вы должны получить 403 запрещено.

Примечание.

Это может занять до 5 минут после обновления флага доступа к общедоступной сети до блокировки общедоступного трафика.

Создание и использование виртуальной машины

Чтобы убедиться, что частная конечная точка может отправлять трафик на сервер:

  1. Создайте виртуальную машину, подключенную к виртуальной сети и подсети, на которую настроена частная конечная точка. Чтобы убедиться, что трафик из виртуальной машины используется только в частной сети, отключите исходящий интернет-трафик с помощью правила группы безопасности сети (NSG).
  2. RDP в виртуальную машину.
  3. Доступ к конечной точке /метаданных сервера FHIR из виртуальной машины. Вы должны получить инструкцию возможности в качестве ответа.

Использование nslookup

Средство nslookup можно использовать для проверки подключения. Если приватный канал настроен правильно, url-адрес сервера FHIR разрешается в допустимый частный IP-адрес, как показано ниже. Обратите внимание, что IP-адрес 168.63.129.16 — это виртуальный общедоступный IP-адрес, используемый в Azure. Дополнительные сведения см. в статье Что такое IP-адрес 168.63.129.16?.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Если частная ссылка настроена неправильно, вы можете увидеть общедоступный IP-адрес и несколько псевдонимов, включая конечную точку Диспетчер трафика. Это означает, что зона DNS приватного канала не может разрешить допустимый частный IP-адрес сервера FHIR. При настройке пиринга виртуальной сети одна из возможных причин заключается в том, что вторая пиринговая виртуальная сеть не была добавлена в зону DNS приватного канала. В результате при попытке получить доступ к конечной точке /метаданных сервера FHIR отображается ошибка HTTP 403, "Доступ к xxx был отклонен".

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Дополнительные сведения см. в разделе "Устранение неполадок с подключением Приватный канал Azure".

Следующие шаги

Из этой статьи вы узнали, как настроить приватный канал и пиринг виртуальной сети. Вы также узнали, как устранить неполадки с приватным каналом и конфигурациями виртуальной сети.

На основе настройки приватного канала и получения дополнительных сведений о регистрации приложений см. в следующих статьях.

Примечание.

FHIR® является зарегистрированным товарным знаком HL7 и используется с разрешением HL7 .