Özel bağlantıyı yapılandırma

  • Makale

Özel bağlantı, sanal ağınızdan bir özel IP adresi kullanarak sizi özel ve güvenli bir şekilde bağlayan bir ağ arabirimi olan özel uç nokta üzerinden FHIR için Azure API'sine erişmenizi sağlar. Özel bağlantı ile, bir genel Etki Alanı Adı Sistemi 'nden (DNS) geçmek zorunda kalmadan birinci taraf hizmeti olarak sanal ağınızdan hizmetlerimize güvenli bir şekilde erişebilirsiniz. Bu makalede, FHIR için Azure API'sine yönelik özel uç noktanızı oluşturma, test etme ve yönetme işlemleri açıklanır.

Not

Özel Bağlantı etkinleştirildikten sonra Özel Bağlantı veya FHIR için Azure API'leri bir kaynak grubundan veya abonelikten diğerine taşınamazlar. Taşıma yapmak için önce Özel Bağlantı silin, ardından FHIR için Azure API'sini taşıyın. Taşıma tamamlandıktan sonra yeni bir Özel Bağlantı oluşturun. Özel Bağlantı silmeden önce olası güvenlik sonuçları değerlendirme.

FHIR için Azure API'sinde denetim günlüklerini ve ölçümleri dışarı aktarma etkinleştirildiyse, dışarı aktarma ayarını portaldan Tanılama Ayarları aracılığıyla güncelleştirin.

Önkoşullar

Özel uç nokta oluşturmadan önce oluşturmanız gereken bazı Azure kaynakları vardır:

  • Kaynak Grubu : Sanal ağı ve özel uç noktayı içerecek Azure kaynak grubu.
  • FHIR için Azure API – Özel uç noktanın arkasına koymak istediğiniz FHIR kaynağı.
  • Sanal Ağ : İstemci hizmetlerinizin ve Özel Uç Noktanızın bağlanacağı sanal ağ.

Daha fazla bilgi için bkz. Özel Bağlantı Belgeleri.

Özel uç nokta oluşturma

Özel uç nokta oluşturmak için, FHIR kaynağında Rol tabanlı erişim denetimi (RBAC) izinlerine sahip bir geliştirici Azure portal, Azure PowerShell veya Azure CLI'yı kullanabilir. Bu makale, Azure portal kullanma adımları boyunca size yol gösterir. Özel DNS Bölgesinin oluşturulmasını ve yapılandırılmasını otomatikleştirdiğinden Azure portal kullanılması önerilir. Daha fazla bilgi için bkz. Özel Bağlantı Hızlı Başlangıç Kılavuzları.

Özel uç nokta oluşturmanın iki yolu vardır. Otomatik Onay akışı, FHIR kaynağında RBAC izinlerine sahip bir kullanıcının onay gerektirmeden özel uç nokta oluşturmasına olanak tanır. El ile Onay akışı, FHIR kaynağı üzerinde izinleri olmayan bir kullanıcının FHIR kaynağının sahipleri tarafından onaylanacak özel bir uç nokta istemesine olanak tanır.

Not

FHIR için Azure API için onaylanmış bir özel uç nokta oluşturulduğunda, buna yönelik genel trafik otomatik olarak devre dışı bırakılır.

Otomatik onay

Yeni özel uç noktanın bölgesinin sanal ağınızın bölgesiyle aynı olduğundan emin olun. FHIR kaynağınızın bölgesi farklı olabilir.

Azure portal Temel Bilgiler Sekmesi

Kaynak türü için Microsoft.HealthcareApis/services araması yapın ve seçin. Kaynak için FHIR kaynağını seçin. Hedef alt kaynak için FHIR'yi seçin.

kaynak sekmesini Azure portal

Ayarlanmış bir Özel DNS Bölgeniz yoksa (Yeni)privatelink.azurehealthcareapis.com'ı seçin. Özel DNS Bölgenizi zaten yapılandırdıysanız listeden seçebilirsiniz. privatelink.azurehealthcareapis.com biçiminde olmalıdır.

yapılandırma sekmesini Azure portal

Dağıtım tamamlandıktan sonra Özel uç nokta bağlantıları sekmesine dönerek bağlantı durumu olarak Onaylandı ifadesini fark edebilirsiniz.

El ile Onay

El ile onay için Kaynak'ın altındaki "Kaynak kimliğine veya diğer adlarına göre Azure kaynağına bağlanma" seçeneğini belirleyin. Hedef alt kaynak için Otomatik Onay'da olduğu gibi "fhir" girin.

El ile Onay

Dağıtım tamamlandıktan sonra" Özel uç nokta bağlantıları" sekmesine geri dönebilirsiniz. Bu sekmede bağlantınızı Onaylayabilir, Reddedebilir veya Kaldırabilirsiniz.

Seçenekler

VNet Eşlemesi

Özel Bağlantı yapılandırıldığında, FHIR sunucusuna aynı VNet'te veya FHIR sunucusu için sanal ağ ile eşlenen farklı bir VNet'te erişebilirsiniz. Sanal ağ eşlemesini yapılandırmak ve DNS bölgesi yapılandırmasını Özel Bağlantı için aşağıdaki adımları izleyin.

Sanal Ağ Eşlemesini Yapılandırma

VNet eşlemesini portaldan veya PowerShell, CLI betikleri ve Azure Resource Manager (ARM) şablonunu kullanarak yapılandırabilirsiniz. İkinci sanal ağ aynı veya farklı aboneliklerde ve aynı veya farklı bölgelerde olabilir. Ağ katkıda bulunanı rolünü verdiğinizden emin olun. Sanal Ağ Eşlemesi hakkında daha fazla bilgi için bkz. Sanal ağ eşlemesi oluşturma.

Azure portal FHIR sunucusunun kaynak grubunu seçin. Özel DNS bölgesini seçin ve privatelink.azurehealthcareapis.com açın. Ayarlar bölümünün altında Sanal ağ bağlantıları'nı seçin. İkinci sanal ağınızı özel DNS bölgesine eklemek için Ekle düğmesini seçin. İstediğiniz bağlantı adını girin, aboneliği ve oluşturduğunuz sanal ağı seçin. İsteğe bağlı olarak, ikinci sanal ağın kaynak kimliğini girebilirsiniz. Otomatik kaydı etkinleştir'i seçin; bu, ikinci sanal ağa bağlı VM'niz için otomatik olarak bir DNS kaydı ekler. Bir sanal ağ bağlantısını sildiğinizde, VM'nin DNS kaydı da silinir.

Özel bağlantı DNS bölgesinin özel uç nokta IP adresini FHIR sunucusu gibi kaynağın tam etki alanı adına (FQDN) nasıl çözümlediği hakkında daha fazla bilgi için bkz. Azure Özel Uç Nokta DNS yapılandırması.

Sanal ağ bağlantısı ekleyin.

Gerekirse daha fazla sanal ağ bağlantısı ekleyebilir ve portaldan eklediğiniz tüm sanal ağ bağlantılarını görüntüleyebilirsiniz.

VNet bağlantılarını Özel Bağlantı.

Genel Bakış dikey penceresinden FHIR sunucusunun özel IP adreslerini ve eşlenmiş sanal ağlara bağlı VM'leri görüntüleyebilirsiniz.

FHIR ve VM Özel IP Adreslerini Özel Bağlantı.

Özel uç noktayı yönetme

Görünüm

Özel uç noktalar ve ilişkili ağ arabirimi denetleyicisi (NIC), oluşturuldukları kaynak grubundan Azure portal görünür.

Kaynaklarda görüntüle

Sil

Özel uç noktalar yalnızca Genel Bakış dikey penceresinden veya Ağ Özel uç noktası bağlantıları sekmesinin altındaki Kaldır seçeneği seçilerek Azure portal silinebilir. Kaldır seçildiğinde özel uç nokta ve ilişkili NIC silinir. FHIR kaynağına ve genel ağa yönelik tüm özel uç noktaları silerseniz erişim devre dışı bırakılır ve FHIR sunucunuza hiçbir istek yapılmaz.

Özel Uç Noktayı Sil

Genel ağ erişimini devre dışı bırakdıktan sonra FHIR sunucunuzun genel trafik almadığından emin olmak için bilgisayarınızdan sunucunuz için /metadata uç noktasını seçin. 403 Yasak alacaksınız.

Not

Genel trafik engellenmeden önce genel ağ erişim bayrağı güncelleştirildikten sonra 5 dakika kadar sürebilir.

VM oluşturma ve kullanma

Özel uç noktanızın sunucunuza trafik gönderebildiğinden emin olmak için:

  1. Özel uç noktanızın yapılandırıldığı sanal ağa ve alt ağa bağlı bir sanal makine (VM) oluşturun. VM'den gelen trafiğinizin yalnızca özel ağı kullandığından emin olmak için ağ güvenlik grubu (NSG) kuralını kullanarak giden İnternet trafiğini devre dışı bırakın.
  2. VM'de RDP.
  3. VM'den FHIR sunucunuzun /metadata uç noktasına erişin. Yetenek deyimini yanıt olarak almanız gerekir.

nslookup kullanma

Bağlantıyı doğrulamak için nslookup aracını kullanabilirsiniz. Özel bağlantı düzgün yapılandırıldıysa, FHIR sunucu URL'sinin aşağıda gösterildiği gibi geçerli özel IP adresine çözümlenmiş olduğunu görmeniz gerekir. 168.63.129.16 IP adresinin Azure'da kullanılan sanal bir genel IP adresi olduğunu unutmayın. Daha fazla bilgi için bkz. IP adresi 168.63.129.16 nedir?

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    fhirserverxxx.privatelink.azurehealthcareapis.com
Address:  172.21.0.4
Aliases:  fhirserverxxx.azurehealthcareapis.com

Özel bağlantı düzgün yapılandırılmamışsa, bunun yerine genel IP adresini ve Traffic Manager uç noktası da dahil olmak üzere birkaç diğer adı görebilirsiniz. Bu, özel bağlantı DNS bölgesinin FHIR sunucusunun geçerli özel IP adresine çözümleneebileceğini gösterir. Sanal ağ eşlemesi yapılandırıldığında olası nedenlerden biri, eşlenen ikinci sanal ağın özel bağlantı DNS bölgesine eklenmemiş olmasıdır. Sonuç olarak, FHIR sunucusunun /metadata uç noktasına erişmeye çalışırken "xxx'e erişim reddedildi" adlı 403 HTTP hatasını görürsünüz.

C:\Users\testuser>nslookup fhirserverxxx.azurehealthcareapis.com
Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    xxx.cloudapp.azure.com
Address:  52.xxx.xxx.xxx
Aliases:  fhirserverxxx.azurehealthcareapis.com
          fhirserverxxx.privatelink.azurehealthcareapis.com
          xxx.trafficmanager.net

Daha fazla bilgi için bkz. Azure Özel Bağlantı bağlantı sorunlarını giderme.

Sonraki adımlar

Bu makalede, özel bağlantıyı ve sanal ağ eşlemesini yapılandırmayı öğrendiniz. Ayrıca özel bağlantı ve sanal ağ yapılandırmalarıyla ilgili sorunları gidermeyi de öğrendinsiniz.

Özel bağlantı kurulumunuzu temel alarak ve uygulamalarınızı kaydetme hakkında daha fazla bilgi için bkz.

FHIR®, HL7'nin tescilli ticari markasıdır ve HL7 izniyle kullanılır.