Configurar ligação privada
A ligação privada permite-lhe aceder à API do Azure para FHIR através de um ponto final privado, que é uma interface de rede que o liga de forma privada e segura através de um endereço IP privado da sua rede virtual. Com a ligação privada, pode aceder aos nossos serviços de forma segura a partir da sua VNet como um serviço de primeira entidade sem ter de passar por um Sistema público de Nomes de Domínio (DNS). Este artigo descreve como criar, testar e gerir o seu ponto final privado para a API do Azure para FHIR.
Nota
Nem Private Link nem a API do Azure para FHIR podem ser movidas de um grupo de recursos ou subscrição para outro assim que Private Link estiver ativada. Para fazer uma movimentação, elimine primeiro o Private Link e, em seguida, mova a API do Azure para FHIR. Crie um novo Private Link assim que a movimentação estiver concluída. Avalie potenciais ramificações de segurança antes de eliminar Private Link.
Se a exportação de registos de auditoria e métricas estiver ativada para a API do Azure para FHIR, atualize a definição de exportação através das Definições de Diagnóstico a partir do portal.
Pré-requisitos
Antes de criar um ponto final privado, existem alguns recursos do Azure que terá de criar primeiro:
- Grupo de Recursos – o grupo de recursos do Azure que irá conter a rede virtual e o ponto final privado.
- API do Azure para FHIR – o recurso FHIR que gostaria de colocar atrás de um ponto final privado.
- Rede Virtual – a VNet à qual os serviços cliente e o Ponto Final Privado serão ligados.
Para obter mais informações, veja Documentação do Private Link.
Criar ponto final privado
Para criar um ponto final privado, um programador com permissões de controlo de acesso baseado em funções (RBAC) no recurso FHIR pode utilizar o portal do Azure, Azure PowerShell ou a CLI do Azure. Este artigo irá orientá-lo ao longo dos passos para utilizar portal do Azure. A utilização do portal do Azure é recomendada, uma vez que automatiza a criação e configuração da Zona de DNS Privado. Para obter mais informações, consulte Private Link Guias de Introdução.
Existem duas formas de criar um ponto final privado. O fluxo de Aprovação Automática permite que um utilizador com permissões RBAC no recurso FHIR crie um ponto final privado sem necessidade de aprovação. O fluxo de Aprovação Manual permite que um utilizador sem permissões no recurso FHIR peça a aprovação de um ponto final privado pelos proprietários do recurso FHIR.
Nota
Quando é criado um ponto final privado aprovado para a API do Azure para FHIR, o tráfego público para o mesmo é automaticamente desativado.
Aprovação automática
Certifique-se de que a região do novo ponto final privado é igual à região da sua rede virtual. A região do recurso FHIR pode ser diferente.
Para o tipo de recurso, pesquise e selecione Microsoft.HealthcareApis/services. Para o recurso, selecione o recurso FHIR. Para sub-origem de destino, selecione FHIR.
Se não tiver uma zona de DNS Privado existente configurada, selecione (Novo)privatelink.azurehealthcareapis.com. Se já tiver a zona de DNS Privado configurada, pode selecioná-la na lista. Tem de estar no formato de privatelink.azurehealthcareapis.com.
Após a conclusão da implementação, pode voltar ao separador Ligações de pontos finais privados das quais irá reparar aprovado como o estado da ligação.
Aprovação Manual
Para aprovação manual, selecione a segunda opção em Recurso, "Ligar a um recurso do Azure por ID de recurso ou alias". Para sub-origem de destino, introduza "fhir" como em Aprovação Automática.
Após a conclusão da implementação, pode voltar ao separador "Ligações de ponto final privado", no qual pode Aprovar, Rejeitar ou Remover a ligação.
VNet Peering
Com Private Link configurado, pode aceder ao servidor FHIR na mesma VNet ou numa VNet diferente que esteja em modo de peering para a VNet do servidor FHIR. Siga os passos abaixo para configurar o VNet Peering e Private Link configuração da zona DNS.
Configurar o VNet Peering
Pode configurar o VNet Peering a partir do portal ou através do PowerShell, scripts da CLI e modelo do Azure Resource Manager (ARM). A segunda VNet pode estar nas mesmas subscrições ou em diferentes regiões e nas mesmas regiões ou regiões diferentes. Certifique-se de que concede a função contribuidor de rede . Para obter mais informações sobre o VNet Peering, veja Criar um peering de rede virtual.
Adicionar ligação VNet à zona de ligação privada
No portal do Azure, selecione o grupo de recursos do servidor FHIR. Selecione e abra a zona DNS Privado, privatelink.azurehealthcareapis.com. Selecione Ligações de rede virtual na secção definições . Selecione o botão Adicionar para adicionar a sua segunda VNet à zona DNS privada. Introduza o nome da ligação à sua escolha, selecione a subscrição e a VNet que criou. Opcionalmente, pode introduzir o ID de recurso da segunda VNet. Selecione Ativar registo automático, que adiciona automaticamente um registo DNS para a VM ligada à segunda VNet. Quando elimina uma ligação VNet, o registo DNS da VM também é eliminado.
Para obter mais informações sobre como a zona DNS de ligação privada resolve o endereço IP do ponto final privado para o nome de domínio completamente qualificado (FQDN) do recurso, como o servidor FHIR, veja Configuração do DNS do Ponto Final Privado do Azure.
Se necessário, pode adicionar mais ligações de VNet e ver todas as ligações da VNet que adicionou a partir do portal.
No painel Descrição geral, pode ver os endereços IP privados do servidor FHIR e as VMs ligadas a redes virtuais em modo de peering.
Gerir ponto final privado
Vista
Os pontos finais privados e o controlador de interface de rede (NIC) associados são visíveis no portal do Azure do grupo de recursos em que foram criados.
Eliminar
Os pontos finais privados só podem ser eliminados do portal do Azure do painel Descrição Geral ou ao selecionar a opção Remover no separador Ligações de ponto final Privado de Rede. Selecionar Remover eliminará o ponto final privado e o NIC associado. Se eliminar todos os pontos finais privados no recurso FHIR e na rede pública, o acesso será desativado e nenhum pedido será feito para o servidor FHIR.
Testar e resolver problemas de ligação privada e VNet peering
Para garantir que o servidor FHIR não está a receber tráfego público depois de desativar o acesso à rede pública, selecione o ponto final /metadados do servidor a partir do seu computador. Deverá receber um 403 Proibido.
Nota
Pode demorar até 5 minutos após atualizar o sinalizador de acesso à rede pública antes de o tráfego público ser bloqueado.
Criar e utilizar uma VM
Para garantir que o ponto final privado pode enviar tráfego para o servidor:
- Crie uma máquina virtual (VM) que esteja ligada à rede virtual e à sub-rede na qual o ponto final privado está configurado. Para garantir que o tráfego da VM está apenas a utilizar a rede privada, desative o tráfego de saída da Internet com a regra do grupo de segurança de rede (NSG).
- RDP na VM.
- Aceda ao ponto final /metadados do servidor FHIR a partir da VM. Deverá receber a instrução de capacidade como resposta.
Utilizar nslookup
Pode utilizar a ferramenta nslookup para verificar a conectividade. Se a ligação privada estiver configurada corretamente, deverá ver que o URL do servidor FHIR é resolvido para o endereço IP privado válido, conforme mostrado abaixo. Tenha em atenção que o endereço IP 168.63.129.16 é um endereço IP público virtual utilizado no Azure. Para obter mais informações, consulte O que é o endereço IP 168.63.129.16
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: fhirserverxxx.privatelink.azurehealthcareapis.com
Address: 172.21.0.4
Aliases: fhirserverxxx.azurehealthcareapis.com
Se a ligação privada não estiver configurada corretamente, poderá ver o endereço IP público e alguns aliases, incluindo o ponto final do Gestor de Tráfego. Isto indica que a zona DNS de ligação privada não consegue resolver para o endereço IP privado válido do servidor FHIR. Quando o VNet Peering está configurado, uma razão possível é que a segunda VNet em modo de peering não foi adicionada à zona DNS de ligação privada. Como resultado, verá o erro HTTP 403, "O acesso a xxx foi negado", ao tentar aceder ao ponto final /metadados do servidor FHIR.
C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: xxx.cloudapp.azure.com
Address: 52.xxx.xxx.xxx
Aliases: fhirserverxxx.azurehealthcareapis.com
fhirserverxxx.privatelink.azurehealthcareapis.com
xxx.trafficmanager.net
Para obter mais informações, veja Resolver problemas de conectividade Azure Private Link.
Passos seguintes
Neste artigo, aprendeu a configurar a ligação privada e o VNet Peering. Também aprendeu a resolver problemas com as configurações da ligação privada e da VNet.
Com base na configuração da ligação privada e para obter mais informações sobre como registar as suas aplicações, consulte
- Registar uma aplicação de recurso
- Registar uma aplicação cliente confidencial
- Registar uma aplicação cliente pública
- Registar uma aplicação de serviço
FHIR® é uma marca registada do HL7 e é utilizada com a permissão de HL7.