Configurar Link Privado para os Serviços de Dados de Integridade do Azure
O Link Privado permite que você acesse os Serviços de Dados de Integridade do Azure por meio de um ponto de extremidade privado. Private Link é uma interface de rede que conecta você de forma privada e segura usando um endereço IP privado de sua rede virtual. Com o Private Link, pode aceder aos nossos serviços de forma segura a partir da sua rede virtual como um serviço primário sem ter de passar por um Sistema de Nomes de Domínio (DNS) público. Este artigo descreve como criar, testar e gerenciar seu ponto de extremidade privado para os Serviços de Dados de Saúde do Azure.
Nota
Nem o Link Privado nem os Serviços de Dados de Integridade do Azure podem ser movidos de um grupo de recursos ou assinatura para outro depois que o Link Privado estiver habilitado. Para fazer uma movimentação, exclua primeiro o Link Privado e, em seguida, mova os Serviços de Dados de Integridade do Azure. Crie um novo Link Privado após a conclusão da mudança. Em seguida, avalie possíveis ramificações de segurança antes de excluir o link privado.
Se você estiver exportando logs de auditoria e métricas habilitados, atualize a configuração de exportação por meio das Configurações de diagnóstico do portal.
Pré-requisitos
Antes de criar um ponto de extremidade privado, os seguintes recursos do Azure devem ser criados primeiro:
- Grupo de Recursos – O grupo de recursos do Azure que contém a rede virtual e o ponto de extremidade privado.
- Espaço de trabalho – O contêiner lógico para instâncias de serviço FHIR® e DICOM®.
- Rede Virtual – A rede virtual à qual os serviços do cliente e o ponto de extremidade privado estão conectados.
Para obter mais informações, consulte Documentação de link privado.
Criar ponto de extremidade privado
Para criar um ponto de extremidade privado, um usuário com permissões RBAC (controle de acesso baseado em função) no espaço de trabalho ou no grupo de recursos onde o espaço de trabalho está localizado pode usar o portal do Azure. O uso do portal do Azure é recomendado, pois ele automatiza a criação e a configuração da Zona DNS Privada. Para obter mais informações, consulte Guias de início rápido de links privados.
O link privado é configurado no nível do espaço de trabalho e é configurado automaticamente para todos os serviços FHIR e DICOM dentro do espaço de trabalho.
Há duas maneiras de criar um ponto de extremidade privado. O fluxo de Aprovação Automática permite que um usuário com permissões RBAC no espaço de trabalho crie um ponto de extremidade privado sem a necessidade de aprovação. O fluxo de Aprovação Manual permite que um usuário sem permissões no espaço de trabalho solicite que os proprietários do espaço de trabalho ou do grupo de recursos aprovem o ponto de extremidade privado.
Nota
Quando um ponto de extremidade privado aprovado é criado para os Serviços de Dados de Integridade do Azure, o tráfego público para ele é automaticamente desabilitado.
Aprovação automática
Verifique se a região do novo ponto de extremidade privado é a mesma que a região da sua rede virtual. A região do espaço de trabalho pode ser diferente.
Para o tipo de recurso, pesquise e selecione Microsoft.HealthcareApis/workspaces na lista suspensa. Para o recurso, selecione o espaço de trabalho no grupo de recursos. O subrecurso de destino, healthcareworkspace, é preenchido automaticamente.
Aprovação manual
Para aprovação manual, selecione a segunda opção em Recurso, Conectar-se a um recurso do Azure por ID de recurso ou alias. Para a ID do recurso, insira subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}. Para o subrecurso Destino, insira healthcareworkspace como em Aprovação automática.
Configuração de DNS de Link Privado
Após a conclusão da implantação, selecione o recurso Link privado no grupo de recursos. Abra a configuração de DNS no menu de configurações. Você pode encontrar os registros DNS e endereços IP privados para o espaço de trabalho e serviços FHIR e DICOM.
Mapeamento de Link Privado
Após a conclusão da implantação, navegue até o novo grupo de recursos criado como parte da implantação. Você deve ver dois registros de zona DNS privados e um para cada serviço. Se você tiver mais serviços FHIR e DICOM no espaço de trabalho, mais registros de zona DNS serão criados para eles.
Selecione Links de rede virtual em Configurações. Observe que o serviço FHIR está vinculado à rede virtual.
Da mesma forma, você pode ver o mapeamento de link privado para o serviço DICOM.
Além disso, você pode ver que o serviço DICOM está vinculado à rede virtual.
Testar ponto final privado
Para verificar se o seu serviço não está a receber tráfego público depois de desativar o acesso à rede pública, selecione o /metadata ponto de extremidade para o seu serviço FHIR ou o ponto de extremidade /health/check do serviço DICOM e receberá a mensagem 403 Proibido.
Pode levar até 5 minutos após a atualização do sinalizador de acesso à rede pública antes que o tráfego público seja bloqueado.
Importante
Sempre que um novo serviço for adicionado ao espaço de trabalho habilitado para Link Privado, aguarde a conclusão do provisionamento. Atualize o ponto de extremidade privado se os registros DNS A não estiverem sendo atualizados para o(s) serviço(s) recém-adicionado(s) no espaço de trabalho. Se os registos DNS A não forem atualizados na sua zona DNS privada, os pedidos para um(s) serviço(s) recém-adicionado(s) não passarão por Link Privado.
Para garantir que o seu Ponto Final Privado possa enviar tráfego para o seu servidor:
- Crie uma máquina virtual (VM) conectada à rede virtual e à sub-rede em que seu Ponto de Extremidade Privado está configurado. Para garantir que o tráfego da VM esteja usando apenas a rede privada, desative o tráfego de saída da Internet usando a regra NSG (grupo de segurança de rede).
- Protocolos de Área de Trabalho Remota (RDP) na VM.
- Aceda ao ponto de extremidade do
/metadataseu servidor FHIR a partir da VM. Você deve receber a declaração de capacidade como resposta.