Oracle Cloud Infrastructure-Dokumentation

Onboarding von Oracle Database in Recovery Service

Prüfen Sie die obligatorischen Anforderungen in Checklisten, und planen Sie, Oracle Database in Recovery Service zu integrieren.

Checkliste für erforderliche Anforderungen für Recovery Service

Mit dieser Checkliste können Sie die erforderlichen Voraussetzungen für das Onboarding von Oracle Database in Recovery Service prüfen.

Hinweis

Betriebliche Backups zu zwei verschiedenen Backupzielen können zu Datenverlustszenarios führen. Bevor Sie automatische Backups in Recovery Service aktivieren, müssen Sie daher manuelle Backupskripte und Prozesse in anderen Speicherzielen deaktivieren.

Tabelle 3-1: Erforderliche Anforderungen für das Onboarding der Datenbank in den Recovery-Service

Prüfen Aufgabe

Vom Recovery-Service verwendete Ports
Sie müssen diese Netzwerkports öffnen und die Sicherheitsregeln für Recovery Service konfigurieren.
  • Port 2484 - Aktiviert SQL*Net-Verbindungen zum RMAN-Katalog, der von Recovery Service verwendet wird.
  • Port 8005 - Aktiviert Backup-Traffic von der Datenbank zu Recovery Service.

Sicherheitsregeln für Recovery Service
Mit Sicherheitslisten oder Netzwerksicherheitsgruppen (NSGs) können Sie die Sicherheitsregeln konfigurieren.
  • Sicherheitsregeln für in OCI bereitgestellte Oracle-Datenbanken
    Für OCI-Datenbanken empfiehlt Oracle, Sicherheitslisten zu verwenden, um die Sicherheitsregeln für das Recovery-Servicesubnetz im Datenbank-VCN zu implementieren.
    • Für Oracle Exadata Database Service on Dedicated Infrastructure wird das Backupsubnetz als Recovery-Servicesubnetz verwendet.
    • Für Oracle Base Database Service wird das Datenbanksubnetz als Recovery-Servicesubnetz verwendet.

    Weitere Informationen finden Sie unter Subnetzgröße und Sicherheitsregeln für Recovery-Servicesubnetz.

  • Sicherheitsregeln für Oracle Multicloud-Datenbanken

    Bei Oracle Multicloud-Datenbanken müssen Sie Netzwerksicherheitsgruppen (NSGs) verwenden, um die Sicherheitsregeln zu definieren und die NSGs (maximal fünf) zu verknüpfen, während Sie das Recovery-Servicesubnetz registrieren.

Unterstützte Plattform

Linux x86-64

Kompatibilitätsebene der Zieldatenbank

19.0.0 oder später

Stellen Sie sicher, dass die Kompatibilitätsebene der Zieldatenbank (der Initialisierungsparameter COMPATIBLE) auf 19.0.0 oder höher gesetzt ist.

Unterstützte Oracle Database-Releases

Oracle Cloud Databases und Oracle Multicloud Databases

Sie können Autonomous Recovery Service als Backupziel für Oracle Cloud-Datenbanken und Oracle Multicloud-Datenbanken festlegen, die mit einem der folgenden Releases bereitgestellt werden:
  • Oracle AI Database 26ai Release Update 23.4 oder höher
  • Oracle Database 21c Release Update 21.7 oder höher

    Um das Feature Echtzeitdatenschutz verwenden zu können, muss Ihre Datenbank mit Oracle Database 21c Release Update 21.8 oder höher bereitgestellt werden.

  • Oracle Database 19c Release Update 19.16 oder höher

    Um das Feature Echtzeitdatenschutz verwenden zu können, muss Ihre Datenbank mit Oracle Database 19c Release Update 19.18 oder höher bereitgestellt werden.

On-Premise-Oracle-Datenbanken

Sie können On-Premise-Oracle-Datenbanken, die mit einem dieser Releases bereitgestellt werden, zu Recovery Service hinzufügen.
  • Oracle AI Database 26ai Release Update 23.4 oder höher
  • Oracle Database 19c Release Update 19.18 oder höher

Weitere Informationen finden Sie unter On-Premise-Datenbank mit Cloud Protect zu Recovery Service hinzufügen.

Oracle Database-Releases, die Recovery Service auf Government Cloud unterstützen

Ressourcenlimits für Recovery Service

Stellen Sie sicher, dass die Ressourcenlimits für den Recovery-Service angemessen sind, und fordern Sie gegebenenfalls eine Erhöhung der Servicelimits an.

Für Oracle Multicloud-Datenbanken müssen Sie die spezifischen Limits für Ihr Multicloud-Abonnement auf der Seite Limits, Quota und Nutzung in der OCI-Konsole prüfen und anpassen.

Achtung:

Wenn Sie das Multicloud-Abonnement nicht auswählen, werden die erhöhten Limits auf OCI-Ressourcen angewendet.

Weitere Informationen finden Sie unter Ressourcenlimits für Recovery-Services.

IAM-Policys für Recovery Service

Datenbankverschlüsselung

Wenn Sie ein On-Premise-Backup von Oracle Database in Recovery Service erstellen, muss das TDE-Wallet eingerichtet und geöffnet werden, unabhängig davon, ob TDE für die Datenbank konfiguriert ist. Wenn integrierbare Datenbanken (PDBs) lokale TDE-Wallets verwenden, müssen die lokalen TDE-Wallets geöffnet sein. Dies ist für die Verschlüsselung von Backups in Recovery Service erforderlich.

Weitere Informationen finden Sie in den folgenden Abschnitten im Transparent Data Encryption Guide:

Achtung:

Oracle empfiehlt dringend die Verwendung eines externen Schlüsselverwaltungssystems, wie Oracle Key Vault. Wenn die Entschlüsselungsschlüssel auf demselben Server wie die verschlüsselten Daten gespeichert werden, können Datenbankserverangriffe potenziell auf die Schlüssel und die Datenbank zugreifen. Verschlüsselte Backups können nicht wiederhergestellt werden, wenn die Schlüssel kompromittiert oder gestohlen werden.

Ausführliche Schritte zum Hinzufügen von On-Premise-Datenbanken zu Recovery Service finden Sie unter On-Premise-Datenbanken mit Oracle Database Zero Data Loss Cloud Protect schützen.

DNS-Auflösung

Wenn Sie Recovery Service eine On-Premise-Oracle Database hinzufügen, ist ein DNS-Listener erforderlich, um DNS-Anforderungen aus dem On-Premise-Netzwerk zu akzeptieren.

Der DNS-Listener wird verwendet, um die Backup-IP-Adressen des Recovery Service aufzulösen. Der FQDN muss im Recovery-Servicesubnetz registriert sein.

Ausführliche Schritte zum Hinzufügen von On-Premise-Datenbanken zu Recovery Service finden Sie unter On-Premise-Datenbanken mit Oracle Database Zero Data Loss Cloud Protect schützen.

Recovery-Servicesubnetz für Oracle-Datenbanken in OCI
Bei OCI-Datenbanken wie Oracle Exadata Database Service on Dedicated Infrastructure und Oracle Base Database Service registriert Recovery Service das Recovery-Service-Subnetz automatisch, wenn Sie automatische Backups aktivieren.
  • Bei Oracle Exadata Database Service on Dedicated Infrastructure registriert Recovery Service das Backupsubnetz automatisch als Recovery-Servicesubnetz.
  • Bei Oracle Base Database Service registriert Recovery Service das Datenbanksubnetz automatisch als Recovery-Servicesubnetz.
Wählen Sie eine der folgenden Optionen aus:
  • Verwenden Sie das Recovery-Servicesubnetz, das bereits vom Service registriert ist (empfohlen).

    Weitere Informationen finden Sie unter Details des Recovery-Service-Subnetzes einer geschützten Datenbank abrufen.

  • (Optional) Erstellen Sie Ihr eigenes Recovery-Servicesubnetz im Datenbank-VCN.

    Für Recovery Service ist ein Subnetz nur IPv4 in demselben virtuellen Cloud-Netzwerk (VCN) erforderlich, in dem sich Ihre Datenbank befindet. Erstellen Sie zunächst Ihr eigenes Recovery-Servicesubnetz im Datenbank-VCN, und weisen Sie dann die Sicherheitsregeln dem von Ihnen erstellten Recovery-Servicesubnetz zu. Schließlich registrieren Sie das Recovery-Servicesubnetz. Wenn Sie Netzwerksicherheitsgruppen (NSG)s zum Definieren der Sicherheitsregeln verwendet haben, müssen Sie die NSGs (maximal fünf) zum Recovery-Servicesubnetz hinzufügen.

Recovery-Servicesubnetz für Oracle Multicloud-Datenbanken

Stellen Sie bei einer Oracle Multicloud-Datenbank sicher, dass Sie das Backupsubnetz als Recovery-Servicesubnetz registrieren, indem Sie Netzwerksicherheitsgruppen (NSG) verknüpfen. Die empfohlene Subnetzgröße ist /24.

Recovery Service unterstützt die folgenden Oracle Multicloud-Datenbankservices:
  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS
    Hinweis

    Die Netzwerkports 2484 und 8005 ermöglichen die Netzwerkkonnektivität zwischen Oracle Database@AWS und Recovery Service. Stellen Sie in einem vorhandenen OCI-Mandanten sicher, dass die Netzwerkports 2484 und 8005 geöffnet werden. In einem neuen OCI-Mandanten sind dieselben Netzwerkports standardmäßig für Oracle Database@AWS geöffnet.

    Wenn Sie eine Oracle Database@AWS-Ressource in Recovery Service integrieren, registriert der Service das Backupsubnetz automatisch als Recovery-Servicesubnetz. Sie können entweder das Recovery-Servicesubnetz verwenden, das automatisch vom Service registriert wird, oder ein eigenes Recovery-Servicesubnetz registrieren.

SBT-Bibliothek für On-Premise-Oracle-Datenbanken

Der Cloud Protect Fleet Agent erfordert die SBT-Bibliotheksdatei libra.so, um Datenbankbackup- und Recovery-Vorgänge mit Recovery Service auszuführen.

Bei Oracle Database 19.27 oder höheren Versionen und Oracle AI Database 26ai Release Update 23.8 oder höheren Versionen ist die SBT-Library libra.so nach der Installation der Datenbank im Verzeichnis $ORACLE_HOME/lib verfügbar.

Stellen Sie bei Oracle Database 19.26 und früheren Versionen sicher, dass Sie die libra.so SBT-Bibliotheksdatei von My Oracle Support-Patchnummer 37855779 herunterladen.

Weitere Informationen finden Sie unter On-Premise-Datenbanken mit Oracle Database Zero Data Loss Cloud Protect schützen.

Optionale Konfigurationscheckliste für Recovery Service

Sie können diese zusätzlichen Optionen für Recovery Service konfigurieren.

Tabelle 3-2: Optionale Konfigurationscheckliste für Recovery Service

Prüfen Weitere Informationen

Schutz-Policy-Optionen
  • Benutzerdefinierte Schutzrichtlinie

    Sie können nicht nur von Oracle definierte Schutz-Policys verwenden, sondern auch eine benutzerdefinierte Schutz-Policy erstellen und den erforderlichen Aufbewahrungszeitraum definieren (mindestens 14 Tage bis maximal 95 Tage).

  • Backupspeicherort auswählen

    Standardmäßig erstellt Recovery Service geschützte Datenbanken und zugehörige Backups in Oracle Cloud. Sie können dieses Standardverhalten für Ihre Oracle Multicloud-Datenbanken wie Oracle Database@Azure, Oracle Database@Google Cloud und Oracle Database@AWS optional außer Kraft setzen.

    Wenn Sie die Option Backups in demselben Cloud-Provider speichern wie die Datenbank für eine benutzerdefinierte Schutz-Policy aktivieren, werden die mit der Policy verknüpfte geschützte Datenbank und die Backups im selben Cloud-Provider gespeichert, in dem Oracle Database bereitgestellt wird.

    Weitere Informationen finden Sie unter Multicloud-Unterstützung für Oracle Database-Backups.

  • Aufbewahrungssperre aktivieren

    Die Aufbewahrungssperre ist ein optionales Feature zum Schutz geschützter Datenbankbackups. Weitere Informationen finden Sie unter Backups mit Aufbewahrungssperre schützen.

IAM-Benutzer und -Gruppen zur Verwaltung von Recovery Service-Ressourcen

Als Mandantenadministrator können Sie IAM-Benutzer und -Gruppen erstellen, um Recovery Service-bezogene Aufgaben zu verwalten.

Anschließend können Sie den Gruppen Recovery Service-Policy-Anweisungen zuweisen. Beispiel: Erstellen Sie eine Gruppe mit dem Namen recoveryserviceadmin, und weisen Sie dann die Policy zu, mit der die Gruppe recoveryserviceadmin geschützte Datenbanken, Schutz-Policys und Recovery-Servicesubnetze verwalten kann.

Ressourcenlimits für Recovery-Service

Ein Servicelimit ist die Quota oder die zulässige Nutzung für eine Ressource. Autonomous Recovery Service hat maximale Limits für die Anzahl der geschützten Datenbanken und die Backupspeicherplatzauslastung. Die Grenzwerte gelten für jede Region.

Tabelle 3-3: Limits für Autonomous Recovery Service-Ressourcen

Ressource Oracle Universal Credits Pay As You Go oder Testversion

Autonomous Recovery Service - Anzahl geschützte Datenbanken

Kontakt

Kontakt

Für Recovery-Fenster verwendeter Autonomous Recovery Service-Speicherplatz (GB)

Kontakt

Kontakt

Prüfen Sie in der Konsole die aktuellen Servicelimits und Nutzungsinformationen, und fordern Sie gegebenenfalls eine Erhöhung der Ressourcenlimits an.

  1. Wählen Sie im Navigationsmenü Governance und Administration und dann Mandantenmanagement aus.
  2. Wählen Sie Limits, Quota und Nutzung aus.
  3. Wählen Sie Autonomous Recovery Service aus der Liste Service aus.
    Prüfen Sie die aktuellen Limits und Nutzungsinformationen.
  4. Anfordern einer Erhöhung des Servicelimits, falls erforderlich. Stellen Sie für Oracle Multicloud-Datenbanken sicher, dass Sie die spezifischen Limits für Ihr Multicloud-Abonnement auf der Seite Limits, Quota und Nutzung prüfen und anpassen.

    Achtung:

    Wenn Sie das Multicloud-Abonnement nicht auswählen, werden die erhöhten Limits auf OCI-Ressourcen angewendet.
  5. (Optional) Sie können auch die Ressourcenauslastung innerhalb von Compartments steuern. Ausführliche Informationen finden Sie unter Quota Policy Quick Start.

Verwandte Themen

Übergeordnetes Thema: Onboarding von Oracle Database in Recovery Service

Optionale Berechtigungen für Oracle-Datenbanken in OCI

Standardmäßig werden Oracle-Datenbanken in OCI die Berechtigungen für den Zugriff auf Recovery Service zugewiesen. Der Service kann auch auf die Netzwerkressourcen innerhalb des Datenbank-VCN zugreifen. Sie können die zusätzlichen und optionalen Berechtigungen für OCI-Datenbanken zuweisen, wie in diesem Thema beschrieben.

Hinweis

Recovery Service umfasst separate IAM-Policy-Vorlagen für Oracle Database@Azure, Oracle Database@Google Cloud und Oracle Database@AWS.

Wenn Sie Recovery Service für Ihre Oracle Multicloud-Datenbank konfigurieren, überspringen Sie diesen Abschnitt, und fahren Sie mit Erforderliche Berechtigungen für Oracle Multicloud-Datenbanken zur Verwendung von Recovery Service fort.

So weisen Sie die optionalen Berechtigungen für OCI-Datenbanken zu:
  1. Wählen Sie in Policy Builder Autonomous Recovery Service als Policy-Anwendungsfall aus.
  2. Wählen Sie die Policy-Vorlagen aus, oder fügen Sie die Policy-Anweisungen mit dem manuellen Editor im Policy Builder hinzu (siehe Tabelle 3-4, Tabelle 3-5 und Tabelle 3-6).

Tabelle 3-4: Zusätzliche Berechtigungen für die Fähigkeit, alle Aktionen mit Autonomous Recovery Service-Policy-Vorlage auszuführen

Policy-Anweisung Erstellen in Zweck

Allow service database to manage tagnamespace in tenancy

Root Compartment

Ermöglicht OCI Database Service den Zugriff auf den Tag-Namespace in einem Mandanten.

Wenn Sie diese Berechtigungen zuweisen, kann eine geschützte Datenbank die Tags aus der Quelldatenbank erben.

Allow group admin to manage recovery-service-family in tenancy

Root Compartment

Ermöglicht Benutzern in einer angegebenen Gruppe den Zugriff auf alle Recovery Service-Ressourcen. Benutzer, die zu der angegebenen Gruppe gehören, können geschützte Datenbanken, Schutz-Policys und Recovery Service-Subnetze verwalten.

Tabelle 3-5: Verwalten von Schutz-Policys in Autonomous Recovery Service von Benutzern zulassen

Policy-Anweisung Erstellen in Zweck

Allow group {group name} to manage recovery-service-policy in compartment {location}

Compartment, das Eigentümer der Schutz-Policys ist.

Ermöglicht allen Benutzern in einer angegebenen Gruppe das Erstellen, Aktualisieren und Löschen von Schutz-Policys in Recovery Service.

Beispiel:

Diese Policy erteilt der Gruppe RecoveryServiceUser die Berechtigungen zum Erstellen, Aktualisieren und Löschen von Schutz-Policys im Compartment ABC.
Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

Die Policy-Vorlage Verwalten von Autonomous Recovery Service-Subnetzen durch Benutzer zulassen

Tabelle 3-6: Verwalten von Autonomous Recovery Service-Subnetzen durch Benutzer zulassen

Policy-Anweisung Erstellen in Zweck

Allow Group {group name} to manage recovery-service-subnet in compartment {location}

Compartment, das Eigentümer der Recovery Service-Subnetze ist.

Ermöglicht allen Benutzern in einer angegebenen Gruppe das Erstellen, Aktualisieren und Löschen von Recovery Service-Subnetzen.

Beispiel:

Diese Policy erteilt der Gruppe RecoveryServiceAdmin die Berechtigungen zum Verwalten von Recovery-Servicesubnetzen im Compartment ABC.
Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Erforderliche Berechtigungen für Oracle Multicloud-Datenbanken zur Verwendung von Recovery Service

Weisen Sie Recovery Service-IAM-Policys zu, mit denen Oracle Multicloud Database Backups an Recovery Service senden kann.

Wählen Sie in Policy Builder Autonomous Recovery Service als Policy-Anwendungsfall aus, und weisen Sie dann eine dieser Policys zu, die für Ihre Oracle Multicloud-Datenbank relevant sind.

Tabelle 3-7: Recovery-Service-Policys für Oracle Multicloud-Datenbanken

Oracle Multicloud-Service Recovery Service Policy-Vorlage und -Anweisungen

Oracle Database@Azure

Verwendung von Autonomous Recovery Service für Backups durch Oracle Database@Azure zulassen


Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy 
where target.subscription.serviceName = 'ORACLEDBATAZURE'

ORACLEDBATAZURE gibt den Servicenamen für Oracle Database@Azure an.

Oracle Database@Google Cloud

Verwendung von Autonomous Recovery Service für Backups durch Oracle Database@Google Cloud zulassen


Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where 
target.subscription.serviceName = 'ORACLEDBATGOOGLE'

ORACLEDBATGOOGLE gibt den Servicenamen für Oracle Database@Google Cloud an.

Oracle Database@AWS
Verwenden Sie für einen vorhandenen OCI-Mandanten den manuellen Editor des Policy Builders, um diese Policy-Anweisungen hinzuzufügen, die Oracle Database@AWS zum Sichern in Recovery Service benötigt. Für einen neuen OCI-Mandanten werden diese Berechtigungen standardmäßig zugewiesen.

Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where 
target.subscription.serviceName = 'ORACLEDBATAWS'

ORACLEDBATAWS gibt den Servicenamen für Oracle Database@AWS an.

Netzwerkressourcen für Recovery Service konfigurieren

Erstellen oder verwenden Sie ein vorhandenes Subnetz (nur IPv4) für Recovery Service-Vorgänge im Datenbank-VCN. Definieren Sie Sicherheitsregeln, um den Backup-Traffic zwischen der Datenbank und Recovery Service zu steuern.

Hinweis

Stellen Sie für Oracle Multicloud-Datenbanken sicher, dass Sie das Backupsubnetz als Recovery-Servicesubnetz registrieren. Die empfohlene Subnetzgröße ist /24.

Recovery Service unterstützt die folgenden Oracle Multicloud-Datenbankservices:
  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS

    Die Netzwerkports 2484 und 8005 ermöglichen die Netzwerkkonnektivität zwischen Oracle Database@AWS und Recovery Service. Stellen Sie in einem vorhandenen OCI-Mandanten sicher, dass die Netzwerkports 2484 und 8005 geöffnet werden. In einem neuen OCI-Mandanten sind dieselben Netzwerkports standardmäßig für Oracle Database@AWS geöffnet.

    Wenn Sie eine Oracle Database@AWS-Ressource in Recovery Service integrieren, registriert der Service das Backupsubnetz automatisch als Recovery-Servicesubnetz. Sie können entweder das Recovery-Servicesubnetz verwenden, das automatisch vom Service registriert wird, oder ein eigenes Recovery-Servicesubnetz registrieren.

Übergeordnetes Thema: Onboarding von Oracle Database in Recovery Service

Privates Subnetz für Recovery Service-Vorgänge verwenden

Für Recovery Service ist ein privates Subnetz in demselben virtuellen Cloud-Netzwerk (VCN) erforderlich, in dem sich Ihre Datenbank befindet. Das private Subnetz muss Sicherheitsregeln enthalten, um das Backupnetzwerk zwischen der Datenbank und dem Recovery-Service zu steuern.

Empfehlungen für Recovery-Service-Subnetze im Datenbank-VCN

  • Ihr Datenbank-VCN muss über ein einzelnes privates Subnetz für Backups in Recovery Service verfügen. Das private Subnetz muss sich in demselben VCN befinden, in dem sich die Datenbank befindet.
  • Wählen Sie ein Subnetz nur IPv4 für Recovery Service in Ihrem Datenbank-VCN aus. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein Subnetz mit aktiviertem IPv6 unterstützt. Weitere Informationen finden Sie unter Subnetz erstellen.
  • Die empfohlene Subnetzgröße ist /24 (256 IP-Adressen).

    Recovery Service weist dynamisch die erforderliche Anzahl an freien IP-Adressen zu, um die privaten Endpunkte zu unterstützen. Wenn die verfügbare Anzahl freier IP-Adressen eingeschränkt ist, verwenden Sie eine minimale Subnetzgröße /27, die 32 IP-Adressen zulässt.

    Sie können entweder ein neues privates Subnetz erstellen oder ein bereits vorhandenes Subnetz (der empfohlenen Größe) auswählen, das im Datenbank-VCN verfügbar ist.

    Für Oracle Exadata Database Service on Dedicated Infrastructure wird das Backupsubnetz standardmäßig für Recovery Service-Vorgänge verwendet. Bei Oracle Base Database Service wird das Datenbanksubnetz auch für das Backup in Recovery Service verwendet.

  • Wenn Sie automatische Backups in Autonomous Recovery Service aktivieren, registriert der Service das private Subnetz automatisch als Recovery-Servicesubnetz. Sie können entweder das automatisch registrierte Recovery Service-Subnetz verwenden oder Ihr eigenes Recovery Service-Subnetz registrieren.

    Wenn Sie Sicherheitsregeln mit Netzwerksicherheitsgruppen (NSGs) definiert haben, müssen Sie ein Recovery-Servicesubnetz registrieren und die NSGs (maximal fünf) mit dem Recovery-Servicesubnetz verknüpfen.

    Bei Oracle Multicloud-Datenbanken müssen Sie ein Recovery-Servicesubnetz registrieren, indem Sie NSGs verknüpfen.

    Weitere Informationen finden Sie unter Recovery Service-Subnetz registrieren.

  • Wenn ein Recovery-Service-Subnetz eine unzureichende Anzahl verfügbarer IP-Adressen enthält, gibt Recovery Service eine Alertmeldung aus, wenn Sie versuchen, eine neue Datenbank hinzuzufügen. In diesem Szenario können Sie IP-Adressen hinzufügen, indem Sie mehrere Subnetze mit dem Recovery Service-Subnetz verknüpfen.
  • Ihre Oracle Cloud-Datenbank kann sich in demselben privaten Subnetz befinden, das vom Recovery-Service verwendet wird, oder in einem anderen Subnetz innerhalb desselben VCN.
Hinweis

Oracle empfiehlt die Verwendung eines privaten Subnetzes für Backups in Recovery Service. Es kann jedoch ein öffentliches Subnetz verwendet werden.

Sicherheitsregeln für Recovery Service-Subnetze implementieren

Das Datenbank-VCN erfordert Sicherheitsregeln, um Backuptraffic zwischen der Datenbank und dem Recovery-Service zuzulassen.

Sicherheitsregeln für das Recovery Service-Subnetz müssen Regeln für zustandsbehafteten Ingress enthalten, damit die Zielports 8005 und 2484 zulässig sind.

Verwenden Sie die folgenden Networking-Servicefunktionen, um Sicherheitsregeln zu implementieren:
  • Sicherheitslisten

    Mit einer Sicherheitsliste können Sie Sicherheitsregeln auf Subnetzebene hinzufügen.

    Wählen Sie im Datenbank-VCN die Sicherheitsliste aus, die für das Recovery-Servicesubnetz verwendet wird, und fügen Sie die Ingress-Regeln hinzu, um die Zielports 8005 und 2484 zuzulassen.

  • Netzwerksicherheitsgruppen (NSGs)
    Netzwerksicherheitsgruppen (NSG) ermöglichen eine granulare Kontrolle über Sicherheitsregeln, die für einzelne VNICs in einem VCN gelten. Recovery Service unterstützt die folgenden Optionen zum Konfigurieren von Sicherheitsregeln mit NSGs:
    • Erstellen Sie eine NSG für die Datenbank-VNIC mit Egress-Regeln, um die Ports 2484 und 8005 zuzulassen. Fügen Sie eine separate NSG für Recovery Service mit Ingress-Regeln hinzu, um die Ports 2484 und 8005 zuzulassen. Verwenden Sie diesen Ansatz, wenn Sie die Netzwerkisolation implementieren möchten.
    • Erstellen und verwenden Sie eine einzelne NSG (mit Egress- und Ingress-Regeln) für die Datenbank-VNIC und den Recovery-Service.
Hinweis

  • Wenn Sie Netzwerksicherheitsgruppen (NSG) zur Implementierung von Sicherheitsregeln verwenden oder Ihr Datenbank-VCN den Netzwerktraffic zwischen Subnetzen einschränkt, stellen Sie sicher, dass Sie eine Egress-Regel für die Ports 2484 und 8005 aus der Datenbank-NSG oder dem Subnetz zu der von Ihnen erstellten Recovery-Service-NSG oder dem erstellten Subnetz hinzufügen.
  • Wenn Sie NSGs zur Implementierung von Sicherheitsregeln erstellt haben, müssen Sie auch sicherstellen, dass Sie die Recovery Service-NSG mit dem Recovery Service-Subnetz verknüpfen. Weitere Informationen finden Sie unter Recovery-Service-Subnetz registrieren.
  • Wenn Sie eine Sicherheitsliste und eine NSG in Ihrem Datenbank-VCN konfiguriert haben, haben die in den NSGs definierten Regeln Vorrang vor den in einer Sicherheitsliste definierten Regeln.

Weitere Informationen finden Sie unter Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.

Überprüfen der Networking-Service-Berechtigungen zum Konfigurieren eines Subnetzes

Stellen Sie sicher, dass Sie über diese Networking Service-Berechtigungen verfügen, die zum Erstellen eines Subnetzes im Datenbank-VCN und zum Zuweisen von Sicherheitsregeln für Recovery Service erforderlich sind.

Tabelle 3-8: Erforderliche Berechtigungen für den Networking-Service zum Erstellen eines privaten Subnetzes und zum Konfigurieren von Sicherheitsregeln für den Recovery-Service

Vorgänge Erforderliche IAM Policys

Privates Subnetz in einem Datenbank-VCN konfigurieren
  • use vcns für das Compartment, in dem sich das VCN befindet
  • use subnets für das Compartment, in dem sich das VCN befindet
  • manage private-ips für das Compartment, in dem sich das VCN befindet
  • manage vnics für das Compartment, in dem sich das VCN befindet
  • VNCs für das Compartment verwalten, in dem die Datenbank bereitgestellt wird oder bereitgestellt werden soll

Alternativ können Sie eine Policy erstellen, die einer angegebenen Gruppe einen breiteren Zugriff auf Netzwerkkomponenten zulässt.

Beispiel: Mit dieser Policy können Sie einer NetworkAdmin-Gruppe die Verwaltung aller Netzwerke in einem beliebigen Compartment in einem Mandanten erlauben.

Beispiel 3-1: Policy für Netzwerkadministratoren

Allow group NetworkAdmin to manage virtual-network-family in tenancy

Subnetzgröße und Sicherheitsregeln für das Recovery Service-Subnetz

Die Sicherheitsregeln sind erforderlich, um Backuptraffic zwischen einer Datenbank und Recovery Service zuzulassen.

Hinweis

  • Wählen Sie ein Subnetz nur IPv4 für Recovery Service in Ihrem Datenbank-VCN aus. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein Subnetz unterstützt, das für IPv6 aktiviert ist. Weitere Informationen finden Sie unter Subnetz erstellen.
  • Für Oracle Multicloud-Datenbanken müssen Sie die Sicherheitsregeln mit Netzwerksicherheitsgruppen (NSGs) konfigurieren. NSGs steuern den Traffic für das Recovery-Servicesubnetz, und sie müssen zustandsbehaftete Ingress-Regeln enthalten, damit die Zielports 8005 und 2484 zulässig sind.

Tabelle 3-9: Subnetzgröße und Sicherheitsregeln für das Recovery Service-Subnetz

Objekt Anforderungen

Empfohlene Subnetzgröße

/24 (256 IP-Adressen)

Wenn die verfügbare Anzahl freier IP-Adressen eingeschränkt ist, verwenden Sie eine minimale Subnetzgröße /27, die 32 IP-Adressen zulässt.

Allgemeine Ingress-Regel 1:

HTTPS-Traffic von überall zulassen

Diese Regel ermöglicht Backuptraffic von Oracle Cloud Infrastructure Database zu Recovery Service.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: CIDR des VCN, in dem sich die Datenbank befindet
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 305

Allgemeine Ingress-Regel 2:

Lässt SQLNet Traffic von überall zu

Diese Regel ermöglicht Recovery-Katalogverbindungen und Echtzeit-Datenschutz von Oracle Cloud Infrastructure Database zu Recovery Service.

  • Zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein)
  • Quelltyp: CIDR
  • Quell-CIDR: CIDR des VCN, in dem sich die Datenbank befindet
  • IP-Protokoll: TCP
  • Quellportbereich: Alle
  • Zielportbereich: 2484
Hinweis

Wenn Sie Netzwerksicherheitsgruppen (NSG) zur Implementierung von Sicherheitsregeln verwenden oder wenn Ihr Datenbank-VCN den Netzwerktraffic zwischen Subnetzen einschränkt, müssen Sie eine Egress-Regel für die Ports 2484 und 8005 von der Datenbank-NSG oder dem Subnetz zur von Ihnen erstellten Recovery Service-NSG oder dem Subnetz hinzufügen.

Recovery Service-Subnetz im VCN der Datenbank erstellen

Mit der OCI-Konsole können Sie ein privates Subnetz für Recovery Service in Ihrem virtuellen Cloud-Datenbanknetzwerk (VCN) konfigurieren.

Hinweis

Stellen Sie für Oracle Multicloud-Datenbanken sicher, dass Sie das Backupsubnetz als Recovery-Servicesubnetz registrieren. Die empfohlene Subnetzgröße ist /24.

Recovery Service unterstützt die folgenden Oracle Multicloud-Datenbankservices:
  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS

    Die Netzwerkports 2484 und 8005 ermöglichen die Netzwerkkonnektivität zwischen Oracle Database@AWS und Recovery Service. Stellen Sie in einem vorhandenen OCI-Mandanten sicher, dass die Netzwerkports 2484 und 8005 geöffnet werden. In einem neuen OCI-Mandanten sind dieselben Netzwerkports standardmäßig für Oracle Database@AWS geöffnet.

    Wenn Sie eine Oracle Database@AWS-Ressource in Recovery Service integrieren, registriert der Service das Backupsubnetz automatisch als Recovery-Servicesubnetz. Sie können entweder das Recovery-Servicesubnetz verwenden, das automatisch vom Service registriert wird, oder ein eigenes Recovery-Servicesubnetz registrieren.

  1. Wählen Sie im Navigationsmenü die Option Networking aus, und wählen Sie Virtuelle Cloud-Netzwerke aus, um die Listenseite Virtuelle Cloud-Netzwerke anzuzeigen.
  2. Wählen Sie das VCN aus, in dem sich die Datenbank befindet.
  3. Führen Sie diese Schritte aus, um ein Recovery-Servicesubnetz mit einer Sicherheitsliste zu erstellen. Wenn Sie Netzwerksicherheitsgruppen verwenden möchten, fahren Sie mit Schritt 4 fort.
    1. Wählen Sie auf der Detailseite für das virtuelle Cloud-Netzwerk die Registerkarte Sicherheit aus.
    2. Wählen Sie unter Sicherheitslisten die Sicherheitsliste aus, die für das VCN verwendet wird.
    3. Wählen Sie auf der Detailseite für die Sicherheitsliste die Registerkarte Sicherheitsregeln aus.
      Sie müssen zwei Ingress-Regeln hinzufügen, damit die Zielports 8005 und 2484 zulässig sind.
    4. Wählen Sie Ingress-Regeln hinzufügen aus, und fügen Sie die folgenden Details hinzu, um eine zustandsbehaftete Ingress-Regel einzurichten, die HTTPS-Traffic von überall aus zulässt:
      • Quelltyp: CIDR
      • Quell-CIDR: Geben Sie das CIDR des VCN an, in dem sich die Datenbank befindet.
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 8005
      • Beschreibung: Geben Sie eine optionale Beschreibung der Ingress-Regel an, um die Verwaltung der Sicherheitsregeln zu unterstützen.
    5. Wählen Sie +Another Ingress-Regel aus, und fügen Sie diese Details hinzu, um eine zustandsbehaftete Ingress-Regel einzurichten, die SQLNet-Traffic von überall aus zulässt:
      • Quelltyp: CIDR
      • Quell-CIDR: Geben Sie das CIDR des VCN an, in dem sich die Datenbank befindet.
      • IP-Protokoll: TCP.
      • Quellportbereich: Alle
      • Zielportbereich: 2484.
      • Beschreibung: Geben Sie eine optionale Beschreibung der Ingress-Regel an, um die Verwaltung der Sicherheitsregeln zu unterstützen.
      Hinweis

      Wählen Sie ein IPv4-only-Subnetz für Recovery Service in Ihrem Datenbank-VCN aus. Wählen Sie kein IPv6-fähiges Subnetz aus, da Recovery Service die Verwendung eines IPv6-fähigen Subnetzes nicht unterstützt. Weitere Informationen finden Sie unter Subnetz erstellen.
    6. Wählen Sie Ingress-Regeln hinzufügen aus.
    7. Wählen Sie auf der Detailseite für die Seite Virtuelles Cloud-Netzwerk die Registerkarte Subnetze und dann Subnetz erstellen aus.
    8. Erstellen Sie ein privates Subnetz, oder wählen Sie ein privates Subnetz aus, das bereits im Datenbank-VCN vorhanden ist. Oracle empfiehlt für das private Subnetz eine Subnetzgröße von /24 (256 IP-Adressen).
    9. Wählen Sie auf der Detailseite für das Subnetz die Registerkarte Sicherheit aus. Fügen Sie unter Sicherheitslisten die Sicherheitsliste mit den Ingress-Regeln hinzu, um die Zielports 8005 und 2484 zuzulassen.
      Hinweis

      Wenn das Datenbank-VCN den Netzwerktraffic zwischen Subnetzen einschränkt, müssen Sie dem von Ihnen erstellten Recovery Service-Subnetz eine Egress-Regel für die Ports 2484 und 8005 aus dem Datenbanksubnetz hinzufügen.
  4. Führen Sie die folgenden Schritte aus, um ein Recovery-Servicesubnetz mit Netzwerksicherheitsgruppen (NSG) zu erstellen.
    1. Wählen Sie auf der Detailseite für das virtuelle Cloud-Netzwerk die Registerkarte Sicherheit aus, und gehen Sie zum Abschnitt Netzwerksicherheitsgruppen.
    2. Wählen Sie Netzwerksicherheitsgruppe erstellen aus.
      Verwenden Sie eine der folgenden unterstützten Methoden, um Sicherheitsregeln mit NSGs zu konfigurieren:
      • Um die Netzwerkisolation zu implementieren, erstellen Sie eine NSG für die Datenbank-VNIC (fügen Sie Egress-Regeln hinzu, um die Ports 2484 und 8005 zuzulassen) und eine separate NSG für Recovery Service (Adressingress-Regeln zum Zulassen der Ports 2484 und 8005).
      • Erstellen und verwenden Sie eine einzelne NSG (mit Egress- und Ingress-Regeln) für die Datenbank-VNIC und den Recovery Service.
      Auf der Seite "Netzwerksicherheitsgruppe" werden die von Ihnen erstellten NSGs aufgeführt.
    Hinweis

    Weitere Konfigurationsdetails finden Sie in der entsprechenden OCI Database Service-Dokumentation.
Hinweis

  • Bei OCI-Datenbanken registriert Recovery Service automatisch das Recovery-Servicesubnetz.

    Sie können entweder das vom Service registrierte Recovery-Servicesubnetz verwenden oder ein eigenes Recovery-Servicesubnetz registrieren.

  • Wenn Sie Sicherheitsregeln mit NSGs implementiert haben oder Ihre Zieldatenbank eine Oracle Multicloud-Datenbank ist, müssen Sie das Recovery-Servicesubnetz registrieren, indem Sie die Recovery-Service-NSGs (maximal fünf) hinzufügen.
  • Oracle empfiehlt, nur ein einzelnes Recovery-Servicesubnetz pro VCN zu registrieren.

Recovery Service-Subnetz wird registriert

Verwenden Sie dieses Verfahren, um ein Recovery-Servicesubnetz zu registrieren.

Hinweis

Vor der Registrierung eines Recovery Service-Subnetzes:

  • Stellen Sie sicher, dass Sie diese Netzwerkports öffnen und die Sicherheitsregeln für Recovery Service konfigurieren.
    • Port 2484: Aktiviert SQL*Net-Verbindungen zum RMAN-Katalog, der vom Recovery-Service verwendet wird.
    • Port 8005: Ermöglicht Backup-Traffic von der Datenbank zum Recovery-Service.
  • Stellen Sie sicher, dass Sie die obligatorischen Voraussetzungen geprüft und bestätigt haben, die unter Checkliste für erforderliche Anforderungen für Recovery Service beschrieben sind.
  • Stellen Sie sicher, dass Sie ein Subnetz nur IPv4 für Recovery Service-Vorgänge in Ihrem Datenbank-VCN auswählen. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein Subnetz unterstützt, das für IPv6 aktiviert ist.
  • Wenn Ihr Backupsubnetz für in OCI bereitgestellte Oracle-Datenbanken die empfohlene Subnetzgröße (mindestens 12 kostenlose IP-Adressen) erfüllt, registriert Recovery Service das Recovery-Servicesubnetz automatisch. Wenn Sie das von Recovery Service registrierte Subnetz ersetzen möchten, führen Sie die unter Subnetze für ein Recovery Service-Subnetz hinzufügen oder ersetzen beschriebenen Schritte aus.
  • Bei Oracle Multicloud-Datenbanken müssen Sie das Backupsubnetz zusammen mit den NSGs als Recovery-Servicesubnetz registrieren, wie in Schritt 8 beschrieben. Die empfohlene Subnetzgröße ist /24.
    Recovery Service unterstützt die folgenden Oracle Multicloud-Datenbankservices:
    • Oracle Database@Azure
    • Oracle Database@Google Cloud
    • Oracle Database@AWS

      Die Netzwerkports 2484 und 8005 ermöglichen die Netzwerkkonnektivität zwischen Oracle Database@AWS und Recovery Service. Stellen Sie in einem vorhandenen OCI-Mandanten sicher, dass die Netzwerkports 2484 und 8005 geöffnet werden. In einem neuen OCI-Mandanten sind dieselben Netzwerkports standardmäßig für Oracle Database@AWS geöffnet.

      Wenn Sie eine Oracle Database@AWS-Ressource in Recovery Service integrieren, registriert der Service das Backupsubnetz automatisch als Recovery-Servicesubnetz. Sie können entweder das Recovery-Service-Subnetz verwenden, das bereits vom Service registriert ist, oder die in diesem Abschnitt angegebenen Schritte verwenden, um Ihr eigenes Recovery-Service-Subnetz zu registrieren.

    Stellen Sie sicher, dass Sie die Recovery Service-Netzwerksicherheitsgruppen (NSG) zum Recovery Service-Subnetz hinzufügen.
  • Mehrere geschützte Datenbanken können dasselbe Recovery Service-Subnetz verwenden. Um sicherzustellen, dass die erforderliche Anzahl von IP-Adressen zur Unterstützung der privaten Recovery Service-Endpunkte verfügbar ist, können Sie einem Recovery Service-Subnetz, das von mehreren geschützten Datenbanken verwendet wird, mehrere Subnetze zuweisen.
  1. Wählen Sie auf der Listenseite Recovery-Servicesubnetze die Option Recovery-Servicesubnetz registrieren aus. Ausführliche Schritte zum Zugriff auf die Listenseite finden Sie unter Recovery-Service-Subnetze auflisten.
  2. Geben Sie einen Namen für das Subnetz des Recovery-Service ein. Geben Sie keine vertraulichen Informationen in das Feld Name ein.
  3. Prüfen Sie das Compartment, in dem Sie das Recovery-Servicesubnetz erstellen möchten. Verwenden Sie das Feld Erstellen in Compartment, um bei Bedarf ein anderes Compartment auszuwählen.
  4. Wählen Sie das Compartment aus, das das zu verwendende virtuelle Cloud-Netzwerk (VCN) enthält. Sie können ein VCN jeweils nur aus einem Compartment auswählen
  5. Wählen Sie das virtuelle Cloud-Netzwerk aus.
  6. Wählen Sie unter Subnetze folgende Optionen aus:
    1. Wählen Sie das Compartment aus, das das private Subnetz enthält, das Sie verwenden möchten.
    2. Wählen Sie das Subnetz aus, das Sie für Recovery Service-Vorgänge im ausgewählten VCN konfiguriert haben.
  7. (Optional) Wählen Sie +Another-Subnetz aus, um dem Recovery Service-Subnetz ein zusätzliches Subnetz zuzuweisen.
    Wenn ein einzelnes Subnetz nicht genügend IP-Adressen zur Unterstützung der privaten Recovery Service-Endpunkte enthält, können Sie mehrere Subnetze zuweisen.
    Weitere Informationen finden Sie unter Privates Subnetz für Recovery Service-Vorgänge verwenden.
  8. Blenden Sie Erweiterte Optionen ein, um diese Optionen zu konfigurieren:
    • Netzwerksicherheitsgruppen

      Wenn Sie eine Netzwerksicherheitsgruppe (NSG) verwendet haben, um Sicherheitsregeln für den Recovery-Service im Datenbank-VCN zu implementieren, oder wenn Ihre Zieldatenbank eine Oracle Multicloud-Datenbank ist, müssen Sie die Recovery-Service-NSG zum Recovery-Service-Subnetz hinzufügen. Die Recovery Service-NSG kann sich in demselben Compartment oder in einem anderen Compartment befinden. Die NSG muss jedoch zu demselben VCN gehören, zu dem das angegebene Subnetz gehört.

      1. Wählen Sie im Abschnitt Netzwerksicherheitsgruppen die Option Netzwerksicherheitsgruppen zur Kontrolle des Traffics verwenden aus.
      2. Wählen Sie die Recovery Service-NSG aus, die Sie im Datenbank-VCN erstellt haben.
      3. Wählen Sie +Another Netzwerksicherheitsgruppe aus, um mehrere NSGs (maximal fünf) zu verknüpfen.
      Hinweis

      Für Oracle Multicloud-Datenbanken wie Oracle Database@Azure, Oracle Database@Google Cloud und Oracle Database@AWS müssen Sie das Recovery-Servicesubnetz registrieren, indem Sie Netzwerksicherheitsgruppen (NSG) verknüpfen.

    • Tags: (Optional) Fügen Sie der Ressource ein oder mehrere Tags hinzu. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  9. Wählen Sie Registrieren aus.
    Hinweis

    Ein Recovery-Service-Subnetz muss mit mindestens einem Subnetz verknüpft sein, das zu Ihrem Datenbank-VCN gehört.
Sie können ein Subnetz ersetzen oder weitere Subnetze hinzufügen, um die erforderliche Anzahl privater Endpunkte zu unterstützen. Weitere Informationen finden Sie unter Subnetze für ein Recovery-Servicesubnetz hinzufügen oder ersetzen.
Ausführliche Schritte zum Hinzufügen von NSGs zu einem vorhandenen Recovery-Servicesubnetz finden Sie unter NSGs mit einem Recovery-Servicesubnetz verknüpfen.

Möglichkeiten zum Verwalten von Recovery Service-Ressourcen

In Oracle Cloud Infrastructure (OCI) können Sie Recovery Service-Ressourcen mit einer Vielzahl von Schnittstellen erstellen und verwalten, die für Ihre verschiedenen Managementanwendungsfälle bereitgestellt werden.

Oberfläche Weitere Informationen

OCI-Konsole

Konsole verwenden

APIs (Application Programming Interfaces)

Oracle Database Autonomous Recovery Service-API

CLIs

CLI verwenden