Azure Health Data Services에 대한 Private Link 구성

  • 아티클

Private Link 프라이빗 엔드포인트를 통해 Azure Health Data Services에 액세스할 수 있습니다. Private Link 가상 네트워크의 개인 IP 주소를 사용하여 개인 및 안전하게 연결하는 네트워크 인터페이스입니다. Private Link 사용하면 DNS(공용 도메인 이름 시스템)를 거치지 않고도 VNet에서 자사 서비스로 안전하게 서비스에 액세스할 수 있습니다. 이 문서에서는 Azure Health Data Services에 대한 프라이빗 엔드포인트를 만들고, 테스트하고, 관리하는 방법을 설명합니다.

참고

Private Link 사용하도록 설정되면 Private Link 또는 Azure Health Data Services를 한 리소스 그룹 또는 구독에서 다른 리소스 그룹으로 이동할 수 없습니다. 이동하려면 먼저 Private Link 삭제한 다음 Azure Health Data Services를 이동합니다. 이동이 완료된 후 새 Private Link 만듭니다. 다음으로, Private Link 삭제하기 전에 잠재적인 보안 파급 효과를 평가합니다.

사용하도록 설정된 감사 로그 및 메트릭을 내보내는 경우 포털에서 진단 설정을 통해 내보내기 설정을 업데이트합니다.

필수 구성 요소

프라이빗 엔드포인트를 만들기 전에 먼저 다음 Azure 리소스를 만들어야 합니다.

  • 리소스 그룹 – 가상 네트워크 및 프라이빗 엔드포인트를 포함할 Azure 리소스 그룹입니다.
  • 작업 영역 – FHIR 및 DICOM 서비스 인스턴스에 대한 논리적 컨테이너입니다.
  • Virtual Network – 클라이언트 서비스 및 프라이빗 엔드포인트가 연결될 VNet입니다.

자세한 내용은 Private Link 설명서를 참조하세요.

프라이빗 엔드포인트 만들기

프라이빗 엔드포인트를 만들려면 작업 영역 또는 작업 영역이 있는 리소스 그룹에 대한 RBAC(역할 기반 액세스 제어) 권한이 있는 사용자는 Azure Portal 사용할 수 있습니다. 프라이빗 DNS 영역의 생성 및 구성을 자동화하기 때문에 Azure Portal 사용하는 것이 좋습니다. 자세한 내용은 Private Link 빠른 시작 가이드를 참조하세요.

프라이빗 링크는 작업 영역 수준에서 구성되며 작업 영역 내의 모든 FHIR 및 DICOM 서비스에 대해 자동으로 구성됩니다.

프라이빗 엔드포인트를 만드는 방법에는 두 가지가 있습니다. 자동 승인 흐름을 사용하면 작업 영역에 대한 RBAC 권한이 있는 사용자가 승인 없이 프라이빗 엔드포인트를 만들 수 있습니다. 수동 승인 흐름을 사용하면 작업 영역에 대한 권한이 없는 사용자가 작업 영역 또는 리소스 그룹의 소유자가 승인할 프라이빗 엔드포인트를 요청할 수 있습니다.

참고

Azure Health Data Services에 대해 승인된 프라이빗 엔드포인트를 만들면 해당 엔드포인트에 대한 공용 트래픽이 자동으로 비활성화됩니다.

자동 승인

새 프라이빗 엔드포인트의 지역이 가상 네트워크의 지역과 동일한지 확인합니다. 작업 영역의 지역은 다를 수 있습니다.

Azure Portal 기본 사항 탭의 화면 이미지입니다.

리소스 종류에 대해 드롭다운 목록에서 Microsoft.HealthcareApis/workspaces 를 검색하여 선택합니다. 리소스의 경우 리소스 그룹에서 작업 영역을 선택합니다. 대상 하위 리소스인 healthcareworkspace가 자동으로 채워집니다.

Azure Portal 리소스 탭의 화면 이미지입니다.

수동 승인

수동 승인을 위해 리소스, 리소스 ID 또는 별칭으로 Azure 리소스에 연결에서 두 번째 옵션을 선택합니다. 리소스 ID에 대해 subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}을 입력합니다. 대상 하위 리소스의 경우 자동 승인에서와 같이 healthcareworkspace 를 입력합니다.

수동 승인 리소스 탭의 화면 이미지입니다.

배포가 완료되면 리소스 그룹에서 Private Link 리소스를 선택합니다. 설정 메뉴에서 DNS 구성 을 엽니다. 작업 영역에 대한 DNS 레코드 및 개인 IP 주소와 FHIR 및 DICOM 서비스를 찾을 수 있습니다.

Azure Portal DNS 구성의 화면 이미지입니다.

배포가 완료되면 배포의 일부로 만들어진 새 리소스 그룹을 찾습니다. 두 개의 프라이빗 DNS 영역 레코드와 각 서비스에 대해 하나씩 표시됩니다. 작업 영역에 더 많은 FHIR 및 DICOM 서비스가 있는 경우 추가 DNS 영역 레코드가 만들어집니다.

Private Link FHIR 매핑의 화면 이미지입니다.

설정에서 가상 네트워크 링크를 선택합니다. FHIR 서비스가 가상 네트워크에 연결되어 있음을 알 수 있습니다.

Private Link VNet 링크 FHIR의 화면 이미지입니다.

마찬가지로 DICOM 서비스에 대한 프라이빗 링크 매핑을 볼 수 있습니다.

Private Link DICOM 매핑의 화면 이미지입니다.

또한 DICOM 서비스가 가상 네트워크에 연결되어 있는 것을 볼 수 있습니다.

Private Link VNet 링크 DICOM의 화면 이미지

프라이빗 엔드포인트 테스트

공용 네트워크 액세스를 사용하지 않도록 설정하면 서비스가 공용 트래픽을 수신하지 않는지 확인하려면 FHIR 서비스의 엔드포인트 또는 DICOM 서비스의 /health/검사 엔드포인트를 선택하면 /metadata 403 사용할 수 없음 메시지가 표시됩니다.

참고

공용 트래픽이 차단되기 전에 공용 네트워크 액세스 플래그를 업데이트한 후 최대 5분이 걸릴 수 있습니다.

중요

새 서비스가 Private Link 사용 가능한 작업 영역에 추가될 때마다 프로비전이 완료될 때까지 기다립니다. 작업 영역에서 새로 추가된 서비스에 대한 DNS A 레코드가 업데이트되지 않는 경우 프라이빗 엔드포인트를 새로 고칩니다. DNS A 레코드가 프라이빗 DNS 영역에서 업데이트되지 않으면 새로 추가된 서비스에 대한 요청은 Private Link 진행되지 않습니다.

프라이빗 엔드포인트가 서버에 트래픽을 보낼 수 있도록 하려면 다음을 수행합니다.

  1. 프라이빗 엔드포인트가 구성된 가상 네트워크 및 서브넷에 연결된 VM(가상 머신)을 만듭니다. VM의 트래픽이 프라이빗 네트워크만 사용되도록 하려면 NSG(네트워크 보안 그룹) 규칙을 사용하여 아웃바운드 인터넷 트래픽을 사용하지 않도록 설정합니다.
  2. RDP(원격 데스크톱 프로토콜)를 VM에 연결합니다.
  3. VM에서 FHIR 서버의 /metadata 엔드포인트에 액세스합니다. 응답으로 capability 문을 받아야 합니다.

다음 단계

이 문서에서는 Azure Health Data Services에 대한 Private Link 구성하는 방법을 알아보았습니다. Private Link 작업 영역 수준에서 구성되며 작업 영역이 있는 FHIR 서비스 및 DICOM 서비스와 같은 모든 하위 리소스는 Private Link 가상 네트워크에 연결됩니다. Azure Health Data Services에 대한 자세한 내용은

Azure Health Data Services 개요

FHIR®은 HL7의 등록 상표이며 HL7 의 권한으로 사용됩니다.