Share via

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure Health Data Services 配置专用链接

  • 项目

专用链接使你能够通过专用终结点访问 Azure Health Data Services。 专用链接是一个网络接口,它使用虚拟网络中的专用 IP 地址以私密和安全方式连接你。 使用专用链接,你可以安全地从虚拟网络访问我们的服务作为第一方服务,而无需通过公共域名系统(DNS)。 本文介绍如何为 Azure Health Data Services 创建、测试和管理专用终结点。

注意

专用链接和 Azure Health Data Services 都不能在启用专用链接后从一个资源组或订阅移动到另一个资源组或订阅。 若要进行移动,请先删除专用链接,然后移动 Azure Health Data Services。 在移动完成后创建新的专用链接。 接下来,在删除专用链接之前评估潜在的安全影响。

如果要导出已启用的审核日志和指标,请从门户通过诊断设置更新导出设置。

先决条件

在创建专用终结点之前,必须先创建以下 Azure 资源:

  • 资源组 – 包含虚拟网络和专用终结点的 Azure 资源组。
  • 工作区 – FHIR® 和 DICOM® 服务实例的逻辑容器。
  • 虚拟网络 – 客户端服务和专用终结点连接到的虚拟网络。

有关详细信息,请参阅专用链接文档

创建专用终结点

若要创建专用终结点,对工作区或工作区所在的资源组具有基于角色的访问控制(RBAC)权限的用户可以使用Azure 门户。 建议使用 Azure 门户,因为它会自动创建和配置专用 DNS 区域。 有关详细信息,请参阅专用链接快速入门指南

专用链接在工作区级别配置,并自动为工作区中的所有 FHIR 和 DICOM 服务配置。

可通过两种方法创建专用终结点。 自动审批流允许对工作区具有 RBAC 权限的用户创建专用终结点,而无需审批。 手动审批流允许用户在工作区上无权请求工作区或资源组的所有者批准专用终结点。

注意

为 Azure Health Data Services 创建批准的专用终结点时,会自动禁用到该终结点的公共流量。

自动审批

确保新专用终结点的区域与虚拟网络的区域相同。 工作区的区域可能有所不同。

显示Azure 门户“基本信息”选项卡的图像的屏幕截图。

对于资源类型,请从下拉列表中搜索并选择 Microsoft.HealthcareApis/workspaces 。 对于资源,请选择资源组中的工作区。 将自动填充目标子资源 healthcareworkspace

显示“Azure 门户资源”选项卡的图像的屏幕截图。

手动审批

对于手动审批,请在“资源”下选择第二个选项,按资源 ID 或别名连接 Azure 资源。 对于资源 ID,请输入 subscriptions/{subcriptionid}/resourceGroups/{resourcegroupname}/providers/Microsoft.HealthcareApis/workspaces/{workspacename}。 对于目标子资源,输入 Healthcareworkspace ,如自动审批中所示。

“手动审批资源”选项卡的屏幕图像。

部署完成后,选择资源组中的专用链接资源。 从设置菜单中打开 DNS 配置 。 可以找到工作区的 DNS 记录和专用 IP 地址,以及 FHIR 和 DICOM 服务。

显示Azure 门户 DNS 配置的图像的屏幕截图。

部署完成后,浏览到作为部署一部分创建的新资源组。 应会看到两条专用 DNS 区域记录,每个服务应有一条。 如果工作区中有更多的 FHIR 和 DICOM 服务,会为其创建更多的 DNS 区域记录。

显示专用链接 FHIR 映射的图像的屏幕截图。

从设置中选择虚拟网络链接 请注意,FHIR 服务已链接到虚拟网络。

显示专用链接虚拟网络链接 FHIR 的图像的屏幕截图。

同样,可以看到 DICOM 服务的专用链接映射。

显示专用链接 DICOM 映射图像的屏幕截图。

此外,可以看到 DICOM 服务已链接到虚拟网络。

显示专用链接虚拟网络链接 DICOM 的图像的屏幕截图。

测试专用终结点

若要验证服务在禁用公共网络访问后未接收公共流量,请选择 /metadata FHIR 服务的终结点或 DICOM 服务的 /health/检查 终结点,并且将收到消息 403 禁止。

在更新公用网络访问标志后,最多可能需要 5 分钟才会阻止公共流量。

重要

每次将新服务添加到已启用专用链接工作区时,请等待预配完成。 如果工作区中新添加的服务(s)未更新 DNS A 记录,请刷新专用终结点。 如果未在专用 DNS 区域中更新 DNS A 记录,则对新添加的服务的请求不会超过专用链接。

若要确保专用终结点可以向服务器发送流量,

  1. 创建连接到虚拟网络和专用终结点的子网的虚拟机(VM)。 若要确保来自该 VM 的流量仅使用专用网络,请使用网络安全组 (NSG) 规则禁用出站 Internet 流量。
  2. 远程桌面协议(RDP)进入 VM。
  3. 从 VM 访问 FHIR 服务器的 /metadata 终结点。 应会收到功能声明作为响应。

注意

FHIR® 是 HL7 的注册商标,经 HL7 许可使用。

DICOM® 是美国电气制造商协会的注册商标,适用于其有关医疗信息数字通信的标准出版物。