Konfigurieren von Private Link

  • Artikel

Mit privater Verbindung können Sie über einen privaten Endpunkt auf die Azure-API für FHIR zugreifen. Dabei handelt es sich um eine Netzwerkschnittstelle, die Sie privat und sicher über eine private IP-Adresse aus Ihrem virtuellen Netzwerk verbindet. Mit privatem Link können Sie sicher über Ihr VNET als Erstanbieterdienst auf unsere Dienste zugreifen, ohne ein öffentliches Domain Name System (DNS) durchlaufen zu müssen. In diesem Artikel wird beschrieben, wie Sie Ihren privaten Endpunkt für die Azure-API für FHIR erstellen, testen und verwalten.

Hinweis

Weder Private Link noch Azure API for FHIR kann nach Aktivierung von Private Link aus einer Ressourcengruppe in eine andere oder einem Abonnement in ein anderes verschoben werden. Um eine Verschiebung vorzunehmen, löschen Sie zuerst die Private Link, und verschieben Sie dann die Azure-API für FHIR. Erstellen Sie nach Abschluss der Verschiebung eine neue Private Link. Bewerten Sie potenzielle Sicherheitskonsequenzen, bevor Sie die Private Link-Instanz löschen.

Wenn das Exportieren von Überwachungsprotokollen und Metriken für die Azure-API für FHIR aktiviert ist, aktualisieren Sie die Exporteinstellung über Diagnoseeinstellungen aus dem Portal.

Voraussetzungen

Bevor Sie einen privaten Endpunkt erstellen, müssen Sie zunächst einige Azure-Ressourcen erstellen:

  • Ressourcengruppe: Die Ressourcengruppe, die das virtuelle Netzwerk und den privaten Endpunkt enthalten soll.
  • Azure API for FHIR: Die FHIR-Ressource, die Sie hinter einem privaten Endpunkt platzieren möchten.
  • Virtuelles Netzwerk: Das VNet, mit dem Ihre Clientdienste und der private Endpunkt verbunden werden.

Weitere Informationen finden Sie in Private Link Dokumentation.

Erstellen eines privaten Endpunkts

Um einen privaten Endpunkt zu erstellen, kann ein Entwickler mit RBAC-Berechtigungen (Role-Based Access Control) für die FHIR-Ressource die Azure-Portal, Azure PowerShell oder Azure CLI verwenden. Dieser Artikel führt Sie durch die Schritte zur Verwendung von Azure-Portal. Die Verwendung des Azure-Portal wird empfohlen, da die Erstellung und Konfiguration der Privates DNS Zone automatisiert wird. Weitere Informationen finden Sie unter Private Link Schnellstartanleitungen.

Ein privater Endpunkt kann auf zwei Arten erstellt werden. Mit dem automatischen Genehmigungsflow kann ein Benutzer, der über RBAC-Berechtigungen für die FHIR-Ressource verfügt, einen privaten Endpunkt erstellen, ohne dass eine Genehmigung erforderlich ist. Mit dem manuellen Genehmigungsflow kann ein Benutzer ohne RBAC-Berechtigungen für die FHIR-Ressource die Genehmigung eines privaten Endpunkts bei Besitzern der FHIR-Ressource anfordern.

Hinweis

Wenn ein genehmigter privater Endpunkt für die Azure-API für FHIR erstellt wird, wird der öffentliche Datenverkehr automatisch deaktiviert.

Automatische Genehmigung

Stellen Sie sicher, dass die Region für den neuen privaten Endpunkt mit der Region für Ihr virtuelles Netzwerk identisch ist. Die Region für Ihre FHIR-Ressource kann abweichen.

Registerkarte „Grundlagen“ im Azure-Portal

Suchen Sie als Ressourcentyp nach Microsoft.HealthcareApis/services, und wählen Sie sie aus. Wählen Sie für die Ressource die FHIR-Ressource aus. Wählen Sie als Zielunterquelle FHIR aus.

Registerkarte „Ressource“ im Azure-Portal

Wenn Sie noch keine Privates DNS Zone eingerichtet haben, wählen Sie (Neu)privatelink.azurehealthcareapis.com aus. Wenn Sie Ihre private DNS-Zone bereits konfiguriert haben, können Sie diese in der Liste auswählen. Es muss im Format privatelink.azurehealthcareapis.com sein.

Registerkarte „Konfiguration“ im Azure-Portal

Nachdem die Bereitstellung abgeschlossen ist, können Sie zur Registerkarte Private Endpunktverbindungen zurückkehren, deren Verbindungsstatus "Genehmigt " angezeigt wird.

Manuelle Genehmigung

Wählen Sie für die manuelle Genehmigung die zweite Option unter „Ressource“ aus: „Stellen Sie über eine Ressourcen-ID oder einen Alias eine Verbindung mit einer Azure-Ressource her“. Geben Sie unter Zielunterquelle "fhir" wie unter Automatische Genehmigung ein.

Manuelle Genehmigung

Nachdem die Bereitstellung abgeschlossen wurde, können Sie zur Registerkarte „Private Endpunktverbindungen“ zurückkehren, auf der Sie Ihre Verbindung „Genehmigen“, „Ablehnen“ oder „Entfernen“ können.

Optionen

VNET-Peering

Wenn Private Link konfiguriert ist, können Sie auf den FHIR-Server im selben VNET oder einem anderen VNET zugreifen, das mit dem VNET für den FHIR-Server verbunden ist. Führen Sie die folgenden Schritte aus, um VNET-Peering und Private Link DNS-Zonenkonfiguration zu konfigurieren.

Konfigurieren des VNet-Peerings

Sie können das VNET-Peering über das Portal oder mithilfe von PowerShell, CLI-Skripts und der Arm-Vorlage (Azure Resource Manager) konfigurieren. Das zweite VNET kann sich in demselben oder unterschiedlichen Abonnement und in derselben oder unterschiedlichen Regionen befinden. Stellen Sie sicher, dass Sie der Rolle "Netzwerkmitwirkender" zuweisen. Weitere Informationen zum VNET-Peering finden Sie unter Erstellen eines Peerings virtueller Netzwerke.

Wählen Sie im Azure-Portal die Ressourcengruppe des FHIR-Servers aus. Wählen Sie die Privates DNS Zone aus, und öffnen Sie sie privatelink.azurehealthcareapis.com. Wählen Sie im Abschnitt Einstellungendie Option Virtuelle Netzwerklinks aus. Wählen Sie die Schaltfläche Hinzufügen aus, um Ihr zweites VNET der privaten DNS-Zone hinzuzufügen. Geben Sie den Linknamen Ihrer Wahl ein, und wählen Sie das Abonnement und das VNET aus, das Sie erstellt haben. Optional können Sie die Ressourcen-ID für das zweite VNET eingeben. Wählen Sie Automatische Registrierung aktivieren aus, wodurch automatisch ein DNS-Eintrag für Ihren virtuellen Computer hinzugefügt wird, der mit dem zweiten VNET verbunden ist. Wenn Sie einen VNET-Link löschen, wird auch der DNS-Eintrag für den virtuellen Computer gelöscht.

Weitere Informationen dazu, wie die PRIVATE Link-DNS-Zone die IP-Adresse des privaten Endpunkts in den vollqualifizierten Domänennamen (FQDN) der Ressource wie den FHIR-Server auflöst, finden Sie unter DNS-Konfiguration des privaten Azure-Endpunkts.

VNET-Link hinzufügen.

Sie können bei Bedarf weitere VNET-Links hinzufügen und alle VNET-Links anzeigen, die Sie über das Portal hinzugefügt haben.

Private Link VNET-Links.

Auf dem Blatt Übersicht können Sie die privaten IP-Adressen des FHIR-Servers und die virtuellen Computer anzeigen, die mit virtuellen Netzwerken mit Peering verbunden sind.

Private Link private IP-Adressen für FHIR und VM.

Verwalten eines privaten Endpunkts

Sicht

Private Endpunkte und der zugeordnete Netzwerkschnittstellencontroller (Network Interface Controller, NIC) sind in Azure-Portal aus der Ressourcengruppe sichtbar, in der sie erstellt wurden.

„Ansicht“ in „Ressourcen“

Löschen

Private Endpunkte können nur aus dem Azure-Portal auf dem Blatt Übersicht oder durch Auswählen der Option Entfernen auf der Registerkarte Private Netzwerkendpunktverbindungen gelöscht werden. Durch Auswählen von Entfernen werden der private Endpunkt und die zugehörige NIC gelöscht. Wenn Sie alle privaten Endpunkte für die FHIR-Ressource und das öffentliche Netzwerk löschen, ist der Zugriff deaktiviert, und es wird keine Anforderung an Ihren FHIR-Server gesendet.

Löschen eines privaten Endpunkts

Um sicherzustellen, dass Ihr FHIR-Server nach dem Deaktivieren des öffentlichen Netzwerkzugriffs keinen öffentlichen Datenverkehr empfängt, wählen Sie den /metadata-Endpunkt für Ihren Server von Ihrem Computer aus. Sie sollten einen Fehler „403 Verboten“ erhalten.

Hinweis

Nach dem Aktualisieren des Zugriffsflags für das öffentliche Netzwerk kann es bis zu 5 Minuten dauern, bis der öffentliche Datenverkehr blockiert wird.

Erstellen und Verwenden eines virtuellen Computers

So stellen Sie sicher, dass Ihr privater Endpunkt Datenverkehr an Ihren Server senden kann:

  1. Erstellen Sie einen virtuellen Computer (VM), der mit dem virtuellen Netzwerk und Subnetz verbunden ist, auf dem Ihr privater Endpunkt konfiguriert ist. Um sicherzustellen, dass ihr Datenverkehr von der VM nur das private Netzwerk verwendet, deaktivieren Sie den ausgehenden Internetdatenverkehr mithilfe der NSG-Regel (Network Security Group).
  2. Greifen Sie per RDP auf die VM zu.
  3. Greifen Sie über den virtuellen Computer auf den /metadata-Endpunkt Ihres FHIR-Servers zu. Sie sollten die Funktionsanweisung als Antwort erhalten.

Verwenden von nslookup

Sie können das nslookup-Tool verwenden, um die Konnektivität zu überprüfen. Wenn der private Link ordnungsgemäß konfiguriert ist, sollte die FHIR-Server-URL wie unten dargestellt in die gültige private IP-Adresse aufgelöst werden. Beachten Sie, dass die IP-Adresse 168.63.129.16 eine virtuelle öffentliche IP-Adresse ist, die in Azure verwendet wird. Weitere Informationen finden Sie unter Was ist die IP-Adresse 168.63.129.16?

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Wenn der private Link nicht ordnungsgemäß konfiguriert ist, werden stattdessen möglicherweise die öffentliche IP-Adresse und einige Aliase angezeigt, einschließlich des Traffic Manager-Endpunkts. Dies gibt an, dass die PRIVATE LINK-DNS-Zone nicht in die gültige private IP-Adresse des FHIR-Servers aufgelöst werden kann. Wenn das VNET-Peering konfiguriert ist, liegt ein möglicher Grund darin, dass das zweite Peering-VNET nicht der DNS-Zone für private Verknüpfungen hinzugefügt wurde. Als Ergebnis wird beim Versuch, auf den /metadata-Endpunkt des FHIR-Servers zuzugreifen, der HTTP-Fehler 403 "Zugriff auf xxx wurde verweigert" angezeigt.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Weitere Informationen finden Sie unter Behandeln Azure Private Link Konnektivitätsprobleme.

Nächste Schritte

In diesem Artikel haben Sie erfahren, wie Sie das Private Link- und VNet-Peering konfigurieren. Außerdem haben Sie erfahren, wie Sie Probleme mit den Konfigurationen für private Verbindungen und VNets beheben.

Basierend auf Ihrem Private Link-Setup und weitere Informationen zum Registrieren Ihrer Anwendungen finden Sie unter

FHIR® ist eine eingetragene Marke von HL7 und wird mit Genehmigung von HL7 verwendet.