Configuración del vínculo privado
El vínculo privado le permite acceder a Azure API for FHIR a través de un punto de conexión privado, que es una interfaz de red que lo conecta de forma privada y segura mediante una dirección IP privada desde la red virtual. Con el vínculo privado, puede acceder a nuestros servicios de forma segura desde la red virtual como un servicio propietario sin tener que pasar por un sistema de nombres de dominio (DNS) público. En este artículo se describe cómo crear, probar y administrar el punto de conexión privado para Azure API for FHIR.
Nota
Ninguna de las instancias de Private Link ni de la API de Azure para FHIR se pueden migrar de un grupo de recursos a otro o de una suscripción a otra, una vez que la instancia de Private Link está habilitada. Para realizar una migración, primero elimine la instancia de Private Link y, luego, mueva Azure API for FHIR. Cree una instancia de Private Link nueva una vez que se complete la migración. Evalúe las posibles ramificaciones de seguridad antes de eliminar la instancia de Private Link.
Si la exportación de registros y métricas de auditoría está habilitada para Azure API for FHIR, actualice la configuración de exportación a través de la configuración de diagnóstico desde el portal.
Requisitos previos
Antes de crear un punto de conexión privado, primero tendrá que crear algunos recursos de Azure:
- Grupo de recursos: el grupo de recursos de Azure que contendrá la red virtual y el punto de conexión privado.
- Azure API for FHIR: el recurso FHIR que quiere colocar detrás de un punto de conexión privado.
- Virtual Network: la red virtual a la que se conectarán los servicios de cliente y el punto de conexión privado.
Para más información, consulte Documentación de Private Link.
Creación de un punto de conexión privado
Para crear un punto de conexión privado, un desarrollador con permisos de control de acceso basado en rol (RBAC) en el recurso FHIR puede usar Azure Portal, Azure PowerShello la CLI de Azure. En este artículo se lo guiará a través de los pasos con Azure Portal. Se recomienda usar Azure Portal, ya que automatiza la creación y configuración de la zona de DNS privado. Para más información, consulte las guías de inicio rápido de Private Link.
Hay dos formas de crear un punto de conexión privado. El flujo de aprobación automática permite a un usuario con permisos de RBAC en el recurso FHIR crear un punto de conexión privado sin necesidad de aprobación. El flujo de aprobación manual permite a un usuario sin permisos en el recurso FHIR solicitar un punto de conexión privado para que los propietarios del recurso FHIR lo aprueben.
Nota
Cuando se crea un punto de conexión privado aprobado para Azure API for FHIR, el tráfico público hacia él se deshabilita automáticamente.
Aprobación automática
Asegúrese de que la región del punto de conexión privado nuevo es la misma que la de la red virtual. La región del recurso FHIR puede ser diferente.
En el caso del tipo de recurso, busque y seleccione Microsoft.HealthcareApis/services. Para el recurso, seleccione el recurso FHIR. En subrecurso de destino, seleccione FHIR.
Si no tiene configurada una DNS privado zona existente, seleccione (Nuevo)privatelink.azurehealthcareapis.com. Si ya ha configurado la zona de DNS privado, puede seleccionarla en la lista. Debe tener el formato privatelink.azurehealthcareapis.com.
Una vez que se completó la implementación, puede volver a la pestaña Conexiones de punto de conexión privado, en la que verá Aprobado como estado de la conexión.
Aprobación manual
Para la aprobación manual, seleccione la segunda opción en Recurso, "Conéctese a un recurso de Azure por identificador de recurso o alias". En Subrecurso de destino, escriba "fhir" como en Aprobación automática.
Una vez que se ha completado la implementación, puede volver a la pestaña "Conexiones de punto de conexión privado", en la que puede Aprobar, Rechazar o Quitar la conexión.
Emparejamiento de redes virtuales
Con Private Link configurado, puede acceder al servidor FHIR en la misma red virtual o en una red virtual diferente que esté emparejada con la red virtual para el servidor FHIR. Siga los pasos que se indican a continuación para configurar el emparejamiento de VNet y Private Link configuración de zona DNS.
Configuración del emparejamiento de VNet
Puede configurar el emparejamiento de red virtual desde el portal o mediante PowerShell, scripts de la CLI y plantilla de Azure Resource Manager (ARM). La segunda red virtual puede estar en las mismas suscripciones o diferentes, y en las mismas regiones o diferentes. Asegúrese de conceder el rol Colaborador de red . Para más información sobre el emparejamiento de VNet, consulte Creación de un emparejamiento de red virtual.
Adición de un vínculo de red virtual a la zona de vínculo privado
En el Azure Portal, seleccione el grupo de recursos del servidor FHIR. Seleccione y abra la zona de DNS privado, privatelink.azurehealthcareapis.com. Seleccione Vínculos de red virtual en la sección configuración . Seleccione el botón Agregar para agregar la segunda red virtual a la zona DNS privada. Escriba el nombre del vínculo que prefiera, seleccione la suscripción y la red virtual que ha creado. Opcionalmente, puede escribir el identificador de recurso de la segunda red virtual. Seleccione Habilitar el registro automático, que agrega automáticamente un registro DNS para la máquina virtual conectada a la segunda red virtual. Al eliminar un vínculo de red virtual, también se elimina el registro DNS de la máquina virtual.
Para más información sobre cómo resuelve la zona DNS de vínculo privado la dirección IP del punto de conexión privado en el nombre de dominio completo (FQDN) del recurso, como el servidor FHIR, consulte Configuración de DNS del punto de conexión privado de Azure.
Puede agregar más vínculos de red virtual si es necesario y ver todos los vínculos de red virtual que ha agregado desde el portal.
En la hoja Información general, puede ver las direcciones IP privadas del servidor FHIR y las máquinas virtuales conectadas a redes virtuales emparejadas.
Administración de un punto de conexión privado
Ver
Los puntos de conexión privados y la controladora de interfaz de red (NIC) asociada son visibles en Azure Portal desde el grupo de recursos en el que se crearon.
Eliminar
Los puntos de conexión privados solo se pueden eliminar desde Azure Portal en la hoja Información general o al seleccionar la opción Quitar de la pestaña Redes: Conexiones de punto de conexión privado. Al seleccionar Quitar, se eliminará el punto de conexión privado y la NIC asociada. Si elimina todos los puntos de conexión privados del recurso FHIR y el acceso a la red pública está deshabilitado, no llegará ninguna solicitud al servidor FHIR.
Prueba y solución de problemas de private link y emparejamiento de red virtual
Para asegurarse de que el servidor FHIR no recibe tráfico público después de deshabilitar el acceso a la red pública, seleccione el punto de conexión /metadata del servidor desde el equipo. Debería recibir un mensaje 403 Prohibido.
Nota
Pueden pasar hasta 5 minutos después de actualizar la marca de acceso a la red pública antes de que se bloquee el tráfico público.
Creación y uso de una máquina virtual
Para asegurarse de que el punto de conexión privado puede enviar tráfico al servidor:
- Cree una máquina virtual (VM) que esté conectada a la red virtual y la subred en la que está configurado el punto de conexión privado. Para asegurarse de que el tráfico de la máquina virtual solo usa la red privada, deshabilite el tráfico saliente de Internet a través de una regla de grupo de seguridad de red (NSG).
- Use RDP en la máquina virtual.
- Acceda al punto de conexión /metadata del servidor de FHIR desde la máquina virtual. Debe recibir la instrucción de funcionalidad como respuesta.
Uso de nslookup
Puede usar la herramienta nslookup para comprobar la conectividad. Si el vínculo privado está configurado correctamente, debería ver que la dirección URL del servidor FHIR se resuelve en la dirección IP privada válida, como se muestra a continuación. Tenga en cuenta que la dirección IP 168.63.129.16 es una dirección IP pública virtual que se usa en Azure. Para obtener más información, consulte ¿Qué es la dirección IP 168.63.129.16?
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
Si el vínculo privado no está configurado correctamente, es posible que vea la dirección IP pública en su lugar y algunos alias, incluido el punto de conexión de Traffic Manager. Esto indica que la zona DNS de vínculo privado no se puede resolver en la dirección IP privada válida del servidor FHIR. Cuando se configura el emparejamiento de VNet, una posible razón es que la segunda red virtual emparejada no se ha agregado a la zona DNS de vínculo privado. Como resultado, verá el error HTTP 403, "Se denegó el acceso a xxx", al intentar acceder al punto de conexión /metadata del servidor FHIR.
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
Para obtener más información, consulte Solución de problemas de conectividad Azure Private Link.
Pasos siguientes
En este artículo, ha aprendido a configurar el vínculo privado y el emparejamiento de red virtual. También ha aprendido a solucionar problemas de las configuraciones de vínculo privado y red virtual.
En función de la configuración de Private Link y para obtener más información sobre cómo registrar las aplicaciones, consulte
- Registro de una aplicación de recursos
- Registro de una aplicación cliente confidencial
- Registro de una aplicación cliente pública
- Registro de una aplicación de servicio
FHIR® es una marca registrada de HL7 y se usa con su permiso.