Konfigurera privat länk

  • Artikel

Med privat länk kan du komma åt Azure API för FHIR via en privat slutpunkt, vilket är ett nätverksgränssnitt som ansluter dig privat och säkert med hjälp av en privat IP-adress från ditt virtuella nätverk. Med privat länk kan du komma åt våra tjänster på ett säkert sätt från ditt virtuella nätverk som en förstapartstjänst utan att behöva gå igenom ett offentligt DNS(Domain Name System). Den här artikeln beskriver hur du skapar, testar och hanterar din privata slutpunkt för Azure API för FHIR.

Anteckning

Varken Private Link eller Azure API för FHIR kan flyttas från en resursgrupp eller prenumeration till en annan när Private Link har aktiverats. Om du vill göra en flytt tar du först bort Private Link och flyttar sedan Azure API för FHIR. Skapa en ny Private Link när flytten är klar. Utvärdera potentiella säkerhetsförgreningar innan du tar bort Private Link.

Om export av granskningsloggar och mått är aktiverat för Azure API för FHIR uppdaterar du exportinställningen via Diagnostikinställningar från portalen.

Förutsättningar

Innan du skapar en privat slutpunkt finns det några Azure-resurser som du måste skapa först:

  • Resursgrupp – Den Azure-resursgrupp som ska innehålla det virtuella nätverket och den privata slutpunkten.
  • Azure API för FHIR – den FHIR-resurs som du vill lägga bakom en privat slutpunkt.
  • Virtual Network – det virtuella nätverk som klienttjänsterna och den privata slutpunkten ska anslutas till.

Mer information finns i Private Link Dokumentation.

Skapa privat slutpunkt

För att skapa en privat slutpunkt kan en utvecklare med RBAC-behörigheter (Rollbaserad åtkomstkontroll) på FHIR-resursen använda Azure Portal, Azure PowerShell eller Azure CLI. Den här artikeln vägleder dig genom stegen för att använda Azure Portal. Användning av Azure Portal rekommenderas eftersom det automatiserar skapandet och konfigurationen av Privat DNS Zone. Mer information finns i Private Link Snabbstartsguider.

Det finns två sätt att skapa en privat slutpunkt. Med flöde för automatiskt godkännande kan en användare som har RBAC-behörigheter för FHIR-resursen skapa en privat slutpunkt utan att behöva godkänna den. Med manuellt godkännandeflöde kan en användare utan behörighet på FHIR-resursen begära att en privat slutpunkt godkänns av ägare av FHIR-resursen.

Anteckning

När en godkänd privat slutpunkt skapas för Azure API för FHIR inaktiveras den offentliga trafiken till den automatiskt.

Automatiskt godkännande

Kontrollera att regionen för den nya privata slutpunkten är samma som regionen för ditt virtuella nätverk. Regionen för din FHIR-resurs kan vara annorlunda.

fliken Azure Portal Grundläggande

Sök efter resurstypen och välj Microsoft.HealthcareApis/services. För resursen väljer du FHIR-resursen. För målunderresurs väljer du FHIR.

Azure Portal resursflik

Om du inte har konfigurerat en befintlig Privat DNS zon väljer du (Ny)privatelink.azurehealthcareapis.com. Om du redan har konfigurerat din Privat DNS Zone kan du välja den i listan. Det måste vara i formatet privatelink.azurehealthcareapis.com.

Azure Portal konfigurationsflik

När distributionen är klar kan du gå tillbaka till fliken Privata slutpunktsanslutningar där du ser Godkänd som anslutningstillstånd.

Manuellt godkännande

För manuellt godkännande väljer du det andra alternativet under Resurs, "Anslut till en Azure-resurs efter resurs-ID eller alias". För Målunderresurs anger du "fhir" som i Automatiskt godkännande.

Manuellt godkännande

När distributionen är klar kan du gå tillbaka till fliken Privata slutpunktsanslutningar, där du kan godkänna, avvisa eller ta bort anslutningen.

Alternativ

VNet-peering

När Private Link har konfigurerats kan du komma åt FHIR-servern i samma virtuella nätverk eller ett annat virtuellt nätverk som är peerkopplat till det virtuella nätverket för FHIR-servern. Följ stegen nedan för att konfigurera VNet-peering och Private Link DNS-zonkonfiguration.

Konfigurera VNet-peering

Du kan konfigurera VNet-peering från portalen eller med hjälp av PowerShell-, CLI-skript och EN ARM-mall (Azure Resource Manager). Det andra virtuella nätverket kan finnas i samma eller olika prenumerationer och i samma eller olika regioner. Se till att du beviljar rollen Nätverksdeltagare . Mer information om VNet-peering finns i Skapa en peering för virtuella nätverk.

I Azure Portal väljer du resursgruppen för FHIR-servern. Välj och öppna Privat DNS-zonen privatelink.azurehealthcareapis.com. Välj Länkar för virtuellt nätverk under avsnittet Inställningar . Välj knappen Lägg till för att lägga till ditt andra virtuella nätverk i den privata DNS-zonen. Ange önskat länknamn, välj prenumerationen och det virtuella nätverk som du skapade. Du kan också ange resurs-ID:t för det andra virtuella nätverket. Välj Aktivera automatisk registrering, som automatiskt lägger till en DNS-post för den virtuella datorn som är ansluten till det andra virtuella nätverket. När du tar bort en VNet-länk tas även DNS-posten för den virtuella datorn bort.

Mer information om hur DNS-zonen för privat länk löser IP-adressen för den privata slutpunkten till det fullständigt kvalificerade domännamnet (FQDN) för resursen, till exempel FHIR-servern, finns i DNS-konfigurationen för Azure Private Endpoint.

Lägg till VNet-länk.

Du kan lägga till fler VNet-länkar om det behövs och visa alla VNet-länkar som du har lagt till från portalen.

Private Link VNet-länkar.

På bladet Översikt kan du visa de privata IP-adresserna för FHIR-servern och de virtuella datorer som är anslutna till peerkopplade virtuella nätverk.

Private Link privata IP-adresser för FHIR och virtuella datorer.

Hantera privat slutpunkt

Visa

Privata slutpunkter och den associerade nätverksgränssnittskontrollanten (NIC) visas i Azure Portal från resursgruppen som de skapades i.

Visa i resurser

Ta bort

Privata slutpunkter kan bara tas bort från Azure Portal från bladet Översikt eller genom att välja alternativet Ta bort under fliken Privata slutpunktsanslutningar för nätverk. Om du väljer Ta bort tas den privata slutpunkten och det associerade nätverkskortet bort. Om du tar bort alla privata slutpunkter till FHIR-resursen och det offentliga nätverket inaktiveras åtkomsten och ingen begäran skickar den till FHIR-servern.

Ta bort privat slutpunkt

Om du vill se till att FHIR-servern inte tar emot offentlig trafik när du har inaktiverat åtkomst till det offentliga nätverket väljer du slutpunkten /metadata för servern från datorn. Du bör få en 403 Förbjuden.

Anteckning

Det kan ta upp till 5 minuter efter att den offentliga nätverksåtkomstflaggan har uppdaterats innan den offentliga trafiken blockeras.

Skapa och använda en virtuell dator

Så här ser du till att din privata slutpunkt kan skicka trafik till servern:

  1. Skapa en virtuell dator (VM) som är ansluten till det virtuella nätverket och undernätet som din privata slutpunkt är konfigurerad på. Om du vill se till att trafiken från den virtuella datorn bara använder det privata nätverket inaktiverar du utgående Internettrafik med hjälp av nätverkssäkerhetsgruppens regel (NSG).
  2. RDP till den virtuella datorn.
  3. Få åtkomst till FHIR-serverns /metadataslutpunkt från den virtuella datorn. Du bör få funktionsuttryck som svar.

Använda nslookup

Du kan använda verktyget nslookup för att verifiera anslutningen. Om den privata länken är korrekt konfigurerad bör du se att FHIR-serverns URL matchar den giltiga privata IP-adressen enligt nedan. Observera att IP-adressen 168.63.129.16 är en virtuell offentlig IP-adress som används i Azure. Mer information finns i Vad är IP-adress 168.63.129.16

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Om den privata länken inte är korrekt konfigurerad kan du se den offentliga IP-adressen i stället och några alias, inklusive Traffic Manager-slutpunkten. Detta indikerar att DNS-zonen för den privata länken inte kan matcha den giltiga privata IP-adressen för FHIR-servern. När VNet-peering har konfigurerats är en möjlig orsak att det andra peerkopplade virtuella nätverket inte har lagts till i DNS-zonen för den privata länken. Därför visas HTTP-felet 403, "Åtkomst till xxx nekades", när du försöker komma åt /metadata-slutpunkten för FHIR-servern.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Mer information finns i Felsöka Azure Private Link anslutningsproblem.

Nästa steg

I den här artikeln har du lärt dig hur du konfigurerar den privata länken och VNet-peering. Du har också lärt dig hur du felsöker konfigurationerna för privat länk och VNet.

Baserat på konfigurationen av din privata länk och mer information om hur du registrerar dina program finns i

FHIR® är ett registrerat varumärke som tillhör HL7 och används med tillstånd av HL7.