2 Onboarding von Oracle Database in Recovery Service

Prüfen Sie anhand von Checklisten die obligatorischen Anforderungen, und planen Sie das Onboarding Ihrer Oracle Cloud-Datenbank oder Oracle Multicloud-Datenbank in Recovery Service.

• Checkliste für obligatorische Anforderungen für Recovery Service
  Mit dieser Checkliste können Sie die obligatorischen Voraussetzungen für das Onboarding von Oracle Database in Recovery Service prüfen.
• Optionale Konfigurationscheckliste für Recovery-Service
  Sie können diese zusätzlichen Optionen für Recovery-Service konfigurieren.
• Limits für Recovery-Servicelimits
  Ein Servicelimit ist die Quota oder der zulässige Nutzung für eine Ressource. Autonomous Recovery Service hat maximale Limits für die Anzahl der geschützten Datenbanken und die Backupspeicherplatzauslastung. Die Grenzwerte gelten für jede Region.
• Optionale Berechtigungen für Oracle-Datenbanken in OCI
  Standardmäßig werden Oracle-Datenbanken in OCI die Berechtigungen für den Zugriff auf Recovery Service zugewiesen. Der Service kann auch auf die Netzwerkressourcen innerhalb des Datenbank-VCN zugreifen. Sie können die zusätzlichen und optionalen Berechtigungen für OCI-Datenbanken zuweisen, wie in diesem Thema beschrieben.
• Erforderliche Berechtigungen für Oracle Multicloud-Datenbanken zur Verwendung von Recovery Service
  Sie müssen die Berechtigungen zuweisen, die für Oracle Database@Azure oder Oracle Database@Google Cloud zur Verwendung von Recovery Service für Backups erforderlich sind.
• Netzwerkressourcen für Recovery-Service konfigurieren
  Erstellen oder verwenden Sie ein vorhandenes Subnetz nur IPv4 für Recovery-Service-Vorgänge im Datenbank-VCN. Definieren Sie Sicherheitsregeln, um den Backup-Traffic zwischen der Datenbank und Recovery Service zu steuern.
• Recovery-Servicesubnetz registrieren
  Mit dieser Prozedur können Sie ein Recovery-Servicesubnetz registrieren.
• Möglichkeiten zur Verwaltung von Recovery Service-Ressourcen
  In Oracle Cloud Infrastructure (OCI) können Sie Recovery Service-Ressourcen mit einer Vielzahl von Schnittstellen erstellen und verwalten, die für Ihre verschiedenen Managementanwendungsfälle bereitgestellt werden.

Checkliste für erforderliche Anforderungen für Recovery Service

Mit dieser Checkliste können Sie die erforderlichen Voraussetzungen für das Onboarding von Oracle Database in Recovery Service prüfen.

Hinweis:

Betriebliche Backups in zwei verschiedenen Backupzielen können Datenverlustszenarios verursachen. Bevor Sie also automatische Backups in Recovery Service aktivieren, müssen Sie manuelle Backupskripte und -prozesse in anderen Speicherzielen deaktivieren.

Tabelle 2-1: Erforderliche Anforderungen für das Onboarding der Datenbank in den Recovery-Service

Prüfen	Aufgabe
Vom Recovery-Service verwendete Ports	Sie müssen diese Netzwerkports öffnen und die Sicherheitsregeln für Recovery Service konfigurieren. Port 2484 - Aktiviert SQL*Net-Verbindungen zum RMAN-Katalog, der von Recovery Service verwendet wird. Port 8005 - Aktiviert Backup-Traffic von der Datenbank zu Recovery Service.
Sicherheitsregeln für Recovery Service	Mit Sicherheitslisten oder Netzwerksicherheitsgruppen (NSGs) können Sie die Sicherheitsregeln konfigurieren. Sicherheitsregeln für in OCI bereitgestellte Oracle-Datenbanken Für OCI-Datenbanken empfiehlt Oracle, Sicherheitslisten zu verwenden, um die Sicherheitsregeln für das Recovery-Servicesubnetz im Datenbank-VCN zu implementieren. Für Oracle Exadata Database Service on Dedicated Infrastructure wird das Backupsubnetz als Standard-Recovery-Servicesubnetz verwendet. Bei Oracle Base Database Service wird das Datenbanksubnetz als Standard-Recovery-Servicesubnetz verwendet. Weitere Informationen finden Sie unter Subnetzgröße und Sicherheitsregeln für Recovery-Servicesubnetz. Sicherheitsregeln für Oracle Multicloud-Datenbanken Bei Oracle Multicloud-Datenbanken müssen Sie Netzwerksicherheitsgruppen (NSGs) verwenden, um die Sicherheitsregeln zu definieren und die NSGs (maximal fünf) zu verknüpfen, während Sie das Recovery-Servicesubnetz registrieren.
Kompatibilitätsebene der Zieldatenbank	19.0.0 oder höher Stellen Sie sicher, dass die Kompatibilitätsebene der Zieldatenbank (der Initialisierungsparameter COMPATIBLE) auf 19.0.0 oder höher gesetzt ist.
Unterstützte Oracle Database-Releases	Sie können Autonomous Recovery Service als Backupziel für Oracle Cloud-Datenbanken und Oracle Multicloud-Datenbanken verwenden, die mit einem der folgenden Releases bereitgestellt werden: Oracle Database 23ai (23.4) oder höher Oracle Database 21c Release 7 (21.7) oder höher Um das Echtzeit-Datenschutzfeature verwenden zu können, muss die Datenbank mit Oracle Database 21c Release 8 (21.8) oder höher bereitgestellt werden. Oracle Database 19c Release 16 (19.16) oder höher Um das Echtzeit-Datenschutzfeature verwenden zu können, muss die Datenbank mit Oracle Database 19c Release 18 (19.18) oder höher bereitgestellt werden. Oracle Database-Releases, die Recovery Service auf Government Cloud unterstützen Oracle Database-Releases, die Recovery Service in Oracle US Government Cloud unterstützen Oracle Database-Releases, die Recovery Service in Oracle US Defense Cloud unterstützen Oracle Database-Releases, die Recovery Service in United Kingdom Government Cloud unterstützen
Ressourcenlimits für Recovery Service	Stellen Sie sicher, dass die Ressourcenlimits für den Recovery-Service angemessen sind, und fordern Sie gegebenenfalls eine Erhöhung der Servicelimits an. Für Oracle Multicloud-Datenbanken müssen Sie die spezifischen Limits für Ihr Multicloud-Abonnement auf der Seite Limits, Quota und Nutzung in der OCI-Konsole prüfen und anpassen. Achtung: Wenn Sie das Multicloud-Abonnement nicht auswählen, werden die erhöhten Limits auf OCI-Ressourcen angewendet. Weitere Informationen finden Sie unter Ressourcenlimits für Recovery-Services.
IAM-Policys für Recovery Service	Oracle Databases in OCI Standardmäßig sind Oracle-Datenbanken, die in OCI bereitgestellt werden, bereits mit den Berechtigungen für den Zugriff auf Recovery Service für Backups zugewiesen. Sie können die optionalen Policys, wie die Policy tag namespace, oder die Policy zuweisen, die den Zugriff auf bestimmte Benutzer oder Gruppen zur Verwaltung der Recovery Service-Ressourcen einschränkt. Siehe Optionale Berechtigungen für Oracle-Datenbanken in OCI Oracle Multicloud-Datenbanken Mit den Recovery Service-Policy-Vorlagen können Sie Berechtigungen für Oracle Database@Azure und Oracle Database@Google Cloud zuweisen, um Recovery Service für Backups zu verwenden. Siehe Erforderliche Berechtigungen für Oracle Multicloud-Datenbanken zur Verwendung von Recovery Service
Recovery-Servicesubnetz für Oracle-Datenbanken in OCI	Bei OCI-Datenbanken wie Oracle Exadata Database Service on Dedicated Infrastructure und Oracle Base Database Service registriert Recovery Service das Recovery-Servicesubnetz automatisch, wenn Sie automatische Backups aktivieren. Bei Oracle Exadata Database Service on Dedicated Infrastructure registriert Recovery Service das Backupsubnetz automatisch als Standard-Recovery-Servicesubnetz. Bei Oracle Base Database Service registriert Recovery Service das Datenbanksubnetz automatisch als Standard-Recovery-Servicesubnetz. Wählen Sie eine der folgenden Optionen aus: Verwenden Sie das standardmäßige Recovery Service-Subnetz, das bereits vom Service registriert ist (empfohlen). Weitere Informationen finden Sie unter Details des Recovery-Service-Subnetzes einer geschützten Datenbank abrufen. (Optional) Erstellen Sie Ihr eigenes Recovery-Servicesubnetz im Datenbank-VCN. Für Recovery Service ist ein Subnetz nur IPv4 in demselben virtuellen Cloud-Netzwerk (VCN) erforderlich, in dem sich Ihre Datenbank befindet. Erstellen Sie zunächst Ihr eigenes Recovery-Servicesubnetz im Datenbank-VCN, und weisen Sie dann die Sicherheitsregeln dem von Ihnen erstellten Recovery-Servicesubnetz zu. Schließlich registrieren Sie das Recovery-Servicesubnetz. Wenn Sie Netzwerksicherheitsgruppen (NSG)s zum Definieren der Sicherheitsregeln verwendet haben, müssen Sie die NSGs (maximal fünf) zum Recovery-Servicesubnetz hinzufügen.
Recovery-Servicesubnetz für Oracle Multicloud-Datenbanken	Stellen Sie für Oracle Database@Azure und Oracle Database@Google Cloud sicher, dass Sie das Backupsubnetz als Recovery-Servicesubnetz registrieren, indem Sie Netzwerksicherheitsgruppen (NSG) verknüpfen. Die empfohlene Subnetzgröße ist /24.

Optionale Konfigurationscheckliste für Recovery Service

Sie können diese zusätzlichen Optionen für Recovery Service konfigurieren.

Tabelle 2-2: Optionale Konfigurationscheckliste für Recovery Service

Prüfen	Weitere Informationen
Schutz-Policy-Optionen	Benutzerdefinierte Schutzrichtlinie Sie können nicht nur von Oracle definierte Schutz-Policys verwenden, sondern auch eine benutzerdefinierte Schutz-Policy erstellen und den erforderlichen Aufbewahrungszeitraum definieren (mindestens 14 Tage bis maximal 95 Tage). Backupspeicherort auswählen Standardmäßig erstellt Recovery Service geschützte Datenbanken und zugehörige Backups in Oracle Cloud. Sie können dieses Standardverhalten optional für Ihre Oracle Multicloud-Datenbanken wie Oracle Database@Azure und Oracle Database@Google Cloud außer Kraft setzen. Wenn Sie die Option Backups in demselben Cloud-Provider speichern wie die Datenbank für eine benutzerdefinierte Schutz-Policy aktivieren, werden die mit der Policy verknüpfte geschützte Datenbank und die Backups in demselben Cloud-Provider gespeichert, in dem Oracle Database bereitgestellt wird. Weitere Informationen finden Sie unter Multicloud-Unterstützung für Oracle Database-Backups. Aufbewahrungssperre aktivieren Die Aufbewahrungssperre ist ein optionales Feature zum Schutz geschützter Datenbankbackups. Weitere Informationen finden Sie unter Backups mit Aufbewahrungssperre schützen.
IAM-Benutzer und -Gruppen zur Verwaltung von Recovery Service-Ressourcen	Als Mandantenadministrator können Sie IAM-Benutzer und -Gruppen erstellen, um Recovery Service-bezogene Aufgaben zu verwalten. Anschließend können Sie den Gruppen Recovery Service-Policy-Anweisungen zuweisen. Beispiel: Erstellen Sie eine Gruppe mit dem Namen recoveryserviceadmin, und weisen Sie dann die Policy zu, mit der die Gruppe recoveryserviceadmin geschützte Datenbanken, Schutz-Policys und Recovery-Servicesubnetze verwalten kann. Gruppe erstellen Benutzer erstellen So fügen Sie einer Gruppe einen Benutzer hinzu

Ressourcenlimits für Recovery-Service

Ein Servicelimit ist die Quota oder die zulässige Nutzung für eine Ressource. Autonomous Recovery Service hat maximale Limits für die Anzahl der geschützten Datenbanken und die Backupspeicherplatzauslastung. Die Grenzwerte gelten für jede Region.

Tabelle 2-3: Limits für Autonomous Recovery Service-Ressourcen

Ressource	Oracle Universal Credits	Pay As You Go oder Testversion
Autonomous Recovery Service - Anzahl geschützte Datenbanken	Kontakt	Kontakt
Für Recovery-Fenster verwendeter Autonomous Recovery Service-Speicherplatz (GB)	Kontakt	Kontakt

Prüfen Sie in der Konsole die aktuellen Servicelimits und Nutzungsinformationen, und fordern Sie gegebenenfalls eine Erhöhung der Ressourcenlimits an.

1. Wählen Sie im Navigationsmenü Governance und Administration und dann Mandantenmanagement aus.
2. Wählen Sie Limits, Quota und Nutzung aus.
3. Wählen Sie in der Liste Service die Option Autonomous Recovery Service aus.
   Prüfen Sie die aktuellen Limits und Nutzungsinformationen.
4. Erhöhung des Servicelimits beantragen, falls erforderlich. Stellen Sie für Oracle Multicloud-Datenbanken sicher, dass Sie die spezifischen Limits für Ihr Multicloud-Abonnement auf der Seite Limits, Quota und Nutzung prüfen und anpassen.

   Achtung:

   Wenn Sie das Multicloud-Abonnement nicht auswählen, werden die erhöhten Limits auf OCI-Ressourcen angewendet.
5. (Optional) Sie können auch die Ressourcenauslastung innerhalb von Compartments steuern. Ausführliche Informationen finden Sie unter Quota Policy Quick Start.

Optionale Berechtigungen für Oracle-Datenbanken in OCI

Standardmäßig werden Oracle-Datenbanken in OCI die Berechtigungen für den Zugriff auf Recovery Service zugewiesen. Der Service kann auch auf die Netzwerkressourcen innerhalb des Datenbank-VCN zugreifen. Sie können die zusätzlichen und optionalen Berechtigungen für OCI-Datenbanken zuweisen, wie in diesem Thema beschrieben.

Hinweis:

Recovery Service umfasst separate Policy-Vorlagen für Oracle Database@Azure und Oracle Database@Google Cloud. Wenn Sie Recovery Service für Ihre Oracle Multicloud-Datenbank konfigurieren, überspringen Sie diesen Abschnitt, und fahren Sie mit Erforderliche Berechtigungen für Oracle Multicloud-Datenbanken zur Verwendung von Recovery Service fort.

So weisen Sie die optionalen Berechtigungen für OCI-Datenbanken zu:

1. Wählen Sie in Policy Builder Autonomous Recovery Service als Policy-Anwendungsfall aus.
2. Wählen Sie die Policy-Vorlagen aus, oder fügen Sie die Policy-Anweisungen mit dem manuellen Editor im Policy Builder hinzu (siehe Tabelle 2-4, Tabelle 2-5 und Tabelle 2-6).

Tabelle 2-4: Zusätzliche Berechtigungen für die Fähigkeit, alle Aktionen mit Autonomous Recovery Service-Policy-Vorlage auszuführen

Policy-Anweisung	Erstellen in	Zweck
Allow service database to manage tagnamespace in tenancy	Root Compartment	Ermöglicht OCI Database Service den Zugriff auf den Tag-Namespace in einem Mandanten. Wenn Sie diese Berechtigungen zuweisen, kann eine geschützte Datenbank die Tags aus der Quelldatenbank erben.
Allow group admin to manage recovery-service-family in tenancy	Root Compartment	Ermöglicht Benutzern in einer angegebenen Gruppe den Zugriff auf alle Recovery Service-Ressourcen. Benutzer der angegebenen Gruppe können geschützte Datenbanken, Schutz-Policys und Recovery Service-Subnetze verwalten.

Tabelle 2-5: Verwalten von Schutz-Policys in Autonomous Recovery Service von Benutzern zulassen

Policy-Anweisung	Erstellen in	Zweck
Allow group {group name} to manage recovery-service-policy in compartment {location}	Compartment, das Eigentümer der Schutz-Policys ist.	Ermöglicht allen Benutzern in einer angegebenen Gruppe das Erstellen, Aktualisieren und Löschen von Schutz-Policys in Recovery Service.

Beachten Sie dieses Beispiel.

Diese Policy erteilt der Gruppe RecoveryServiceUser die Berechtigungen zum Erstellen, Aktualisieren und Löschen von Schutz-Policys im Compartment ABC.

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

Policy-Vorlage Verwalten von Autonomous Recovery Service-Subnetzen durch Benutzer zulassen

Tabelle 2-6: Verwalten von Autonomous Recovery Service-Subnetzen durch Benutzer zulassen

Policy-Anweisung	Erstellen in	Zweck
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	Compartment, das Eigentümer der Recovery Service-Subnetze ist.	Ermöglicht allen Benutzern in einer angegebenen Gruppe das Erstellen, Aktualisieren und Löschen von Recovery Service-Subnetzen.

Beachten Sie dieses Beispiel.

Diese Policy erteilt der Gruppe RecoveryServiceAdmin die Berechtigungen zum Verwalten von Recovery-Servicesubnetzen im Compartment ABC.

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Erforderliche Berechtigungen für Oracle Multicloud-Datenbanken zur Verwendung von Recovery Service

Sie müssen die Berechtigungen zuweisen, die für Oracle Database@Azure oder Oracle Database@Google Cloud erforderlich sind, um Recovery Service für Backups zu verwenden.

Wählen Sie in Policy Builder Autonomous Recovery Service als Policy-Anwendungsfall aus, und wählen Sie dann eine dieser Policy-Vorlagen aus, die für Ihre Oracle Multicloud-Datenbank relevant sind.

• Verwendung von Autonomous Recovery Service für Backup durch Oracle Database@Azure zulassen
• Verwendung von Autonomous Recovery Service für Backup in Oracle Database@Google Cloud zulassen

Verwendung von Autonomous Recovery Service für Backup durch Oracle Database@Azure zulassen

Diese Policy-Vorlage enthält diese Policy-Anweisungen, die Oracle Database@Azure benötigt, um Recovery Service für Backups zu verwenden.

Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy 
where target.subscription.serviceName = 'ORACLEDBATAZURE'

ORACLEDBATAZURE gibt den Servicenamen für Oracle Database@Azure an.

Verwendung von Autonomous Recovery Service für Backup in Oracle Database@Google Cloud zulassen

Diese Policy-Vorlage enthält diese Policy-Anweisungen, die von Oracle Database@Google Cloud für die Verwendung von Recovery Service für Backups erforderlich sind.

Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where 
target.subscription.serviceName = 'ORACLEDBATGOOGLE'

ORACLEDBATGOOGLE gibt den Servicenamen für Oracle Database@Google Cloud an.

Weitere Informationen zur Verwendung von Recovery Service für Oracle Multicloud-Datenbankbackups finden Sie unter Multicloud-Support für Oracle Database-Backups.

Netzwerkressourcen für Recovery Service konfigurieren

Erstellen oder verwenden Sie ein vorhandenes Subnetz (nur IPv4) für Recovery Service-Vorgänge im Datenbank-VCN. Definieren Sie Sicherheitsregeln, um den Backup-Traffic zwischen der Datenbank und Recovery Service zu steuern.

Hinweis:

Stellen Sie für Oracle Database@Azure und Oracle Database@Google Cloud sicher, dass Sie das Backupsubnetz als Recovery-Servicesubnetz registrieren. Die empfohlene Subnetzgröße ist /24.

• Privates Subnetz für Recovery-Servicevorgänge verwenden
  Recovery-Service erfordert ein privates Subnetz in demselben virtuellen Cloud-Netzwerk (VCN), in dem sich Ihre Datenbank befindet. Das private Subnetz muss Sicherheitsregeln enthalten, um das Backupnetzwerk zwischen der Datenbank und dem Recovery-Service zu steuern.
• Berechtigungen für Networking-Service zum Konfigurieren eines Subnetzes prüfen
  Stellen Sie sicher, dass Sie über die erforderlichen Networking-Serviceberechtigungen verfügen, um ein Subnetz im Datenbank-VCN zu erstellen und Sicherheitsregeln für Recovery Service zuzuweisen.
• Subnetzgröße und Sicherheitsregeln für Recovery-Servicesubnetz
  Die Sicherheitsregeln sind erforderlich, um Backuptraffic zwischen einer Datenbank und dem Recovery-Service zuzulassen.
• Recovery-Servicesubnetz im Datenbank-VCN erstellen
  Mit der OCI-Konsole können Sie ein privates Subnetz für Recovery-Service in Ihrem virtuellen Cloud-Datenbanknetzwerk (VCN) konfigurieren.

Privates Subnetz für Recovery Service-Vorgänge verwenden

Recovery Service erfordert ein privates Subnetz in demselben virtuellen Cloud-Netzwerk (VCN), in dem sich Ihre Datenbank befindet. Das private Subnetz muss Sicherheitsregeln enthalten, um das Backupnetzwerk zwischen der Datenbank und dem Recovery-Service zu steuern.

Empfehlungen für Recovery-Service-Subnetze im Datenbank-VCN

• Ihr Datenbank-VCN muss über ein einzelnes privates Subnetz für Backups in Recovery Service verfügen. Das private Subnetz muss sich in demselben VCN befinden, in dem sich die Datenbank befindet.
• Wählen Sie ein IPv4-only-Subnetz für Recovery Service im Datenbank-VCN aus. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein IPv6-aktiviertes Subnetz unterstützt. Weitere Informationen finden Sie unter Subnetze erstellen.
• Die empfohlene Subnetzgröße ist /24 (256 IP-Adressen).

  Recovery Service weist dynamisch die erforderliche Anzahl an freien IP-Adressen zur Unterstützung der privaten Endpunkte zu. Wenn die verfügbare Anzahl freier IP-Adressen eingeschränkt ist, verwenden Sie eine Subnetzgröße von mindestens /27, die 32 IP-Adressen zulässt.

  Sie können entweder ein neues privates Subnetz erstellen oder ein bereits vorhandenes Subnetz (der empfohlenen Größe) auswählen, das im Datenbank-VCN verfügbar ist.

  Für Oracle Exadata Database Service on Dedicated Infrastructure wird das Backupsubnetz standardmäßig für Recovery Service-Vorgänge verwendet. Bei Oracle Base Database Service wird das Datenbanksubnetz auch für das Backup in Recovery Service verwendet.

• Wenn Sie automatische Backups in Autonomous Recovery Service aktivieren, registriert der Service das private Subnetz automatisch als Recovery-Servicesubnetz. Sie können entweder das automatisch registrierte Recovery Service-Subnetz verwenden oder Ihr eigenes Recovery Service-Subnetz registrieren.

  Wenn Sie Sicherheitsregeln mit Netzwerksicherheitsgruppen (NSGs) definiert haben, müssen Sie ein Recovery-Servicesubnetz registrieren und die NSGs (maximal fünf) mit dem Recovery-Servicesubnetz verknüpfen.

  Bei Oracle Multicloud-Datenbanken müssen Sie ein Recovery-Servicesubnetz registrieren, indem Sie NSGs verknüpfen.

  Weitere Informationen finden Sie unter Recovery Service-Subnetz registrieren.

• Wenn ein Recovery Service-Subnetz eine unzureichende Anzahl verfügbarer IP-Adressen enthält, gibt Recovery Service eine Alertmeldung aus, wenn Sie versuchen, eine neue Datenbank hinzuzufügen. In diesem Szenario können Sie IP-Adressen hinzufügen, indem Sie mehrere Subnetze mit dem Recovery-Servicesubnetz verknüpfen.
• Die Oracle Cloud-Datenbank kann sich in demselben privaten Subnetz befinden, das vom Recovery-Service verwendet wird, oder in einem anderen Subnetz innerhalb desselben VCN.

Hinweis:

Oracle empfiehlt, ein privates Subnetz für Backups in Recovery Service zu verwenden. Es ist jedoch möglich, ein öffentliches Subnetz zu verwenden.

Sicherheitsregeln für Recovery Service-Subnetze implementieren

Das Datenbank-VCN erfordert Sicherheitsregeln, um Backuptraffic zwischen der Datenbank und dem Recovery-Service zuzulassen.

Sicherheitsregeln für das Recovery Service-Subnetz müssen Regeln für zustandsbehafteten Ingress enthalten, damit die Zielports 8005 und 2484 zulässig sind.

Verwenden Sie die folgenden Networking-Servicefunktionen, um Sicherheitsregeln zu implementieren:

• Sicherheitslisten

  Mit einer Sicherheitsliste können Sie Sicherheitsregeln auf Subnetzebene hinzufügen.

  Wählen Sie im Datenbank-VCN die Sicherheitsliste aus, die für das Recovery-Servicesubnetz verwendet wird, und fügen Sie die Ingress-Regeln hinzu, um die Zielports 8005 und 2484 zuzulassen.

• Netzwerksicherheitsgruppen (NSGs)
  Netzwerksicherheitsgruppen (NSG) ermöglichen eine granulare Kontrolle über Sicherheitsregeln, die für einzelne VNICs in einem VCN gelten. Recovery Service unterstützt die folgenden Optionen zum Konfigurieren von Sicherheitsregeln mit NSGs:

  • Erstellen Sie eine NSG für die Datenbank-VNIC mit Egress-Regeln, um die Ports 2484 und 8005 zuzulassen. Fügen Sie eine separate NSG für Recovery Service mit Ingress-Regeln hinzu, um die Ports 2484 und 8005 zuzulassen. Verwenden Sie diesen Ansatz, wenn Sie die Netzwerkisolation implementieren möchten.
  • Erstellen und verwenden Sie eine einzelne NSG (mit Egress- und Ingress-Regeln) für die Datenbank-VNIC und den Recovery-Service.

Hinweis:

• Wenn Sie Netzwerksicherheitsgruppen (NSG) zur Implementierung von Sicherheitsregeln verwenden oder Ihr Datenbank-VCN den Netzwerktraffic zwischen Subnetzen einschränkt, stellen Sie sicher, dass Sie eine Egress-Regel für die Ports 2484 und 8005 von der Datenbank-NSG oder dem Subnetz zu der von Ihnen erstellten Recovery-Service-NSG oder dem erstellten Subnetz hinzufügen.
• Wenn Sie NSGs zur Implementierung von Sicherheitsregeln erstellt haben, müssen Sie auch sicherstellen, dass Sie die Recovery Service-NSG mit dem Recovery Service-Subnetz verknüpfen. Weitere Informationen finden Sie unter Recovery-Service-Subnetz registrieren.
• Wenn Sie eine Sicherheitsliste und eine NSG im Datenbank-VCN konfiguriert haben, haben die in den NSGs definierten Regeln Vorrang vor den in einer Sicherheitsliste definierten Regeln.

Weitere Informationen finden Sie unter Vergleich von Sicherheitslisten und Netzwerksicherheitsgruppen.

Networking-Service-Berechtigungen zum Konfigurieren eines Subnetzes prüfen

Stellen Sie sicher, dass Sie über die erforderlichen Networking-Serviceberechtigungen verfügen, um ein Subnetz im Datenbank-VCN zu erstellen und Sicherheitsregeln für Recovery Service zuzuweisen.

Tabelle 2-7: Erforderliche Berechtigungen für den Networking-Service zum Erstellen eines privaten Subnetzes und zum Konfigurieren von Sicherheitsregeln für den Recovery-Service

Vorgang	Erforderliche IAM-Policys
Privates Subnetz in einem Datenbank-VCN konfigurieren	use vcns für das Compartment, in dem sich das VCN befindet use subnets für das Compartment, in dem sich das VCN befindet manage private-ips für das Compartment, in dem sich das VCN befindet manage vnics für das Compartment, in dem sich das VCN befindet vnics für das Provisioning der Datenbank verwalten

Alternativ können Sie eine Policy erstellen, die eine angegebene Gruppe mit einem umfassenderen Zugriff auf Netzwerkkomponenten zulässt.

Beispiel: Mit dieser Policy können Sie zulassen, dass eine NetworkAdmin-Gruppe alle Netzwerke in einem beliebigen Compartment in einem Mandanten verwaltet.

Beispiel 2-1: Policy für Netzwerkadministratoren

Allow group NetworkAdmin to manage virtual-network-family in tenancy

Subnetzgröße und Sicherheitsregeln für das Recovery Service-Subnetz

Die Sicherheitsregeln sind erforderlich, um Backup-Traffic zwischen einer Datenbank und dem Recovery-Service zuzulassen.

Hinweis:

• Wählen Sie ein IPv4-only-Subnetz für Recovery Service im Datenbank-VCN aus. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein IPv6-aktiviertes Subnetz unterstützt. Weitere Informationen finden Sie unter Subnetze erstellen.
• Für Oracle Multicloud-Datenbanken müssen Sie die Sicherheitsregeln mit Netzwerksicherheitsgruppen (NSGs) konfigurieren. NSGs steuern den Traffic für das Recovery-Servicesubnetz, und sie müssen zustandsbehaftete Ingress-Regeln enthalten, damit die Zielports 8005 und 2484 zulässig sind.

Tabelle 2-8: Subnetzgröße und Sicherheitsregeln für das Recovery Service-Subnetz

Element	Anforderungen
Empfohlene Subnetzgröße	/24 (256 IP-Adressen) Wenn die verfügbare Anzahl freier IP-Adressen eingeschränkt ist, verwenden Sie eine Subnetzgröße von mindestens /27, die 32 IP-Adressen zulässt.
Allgemeine Ingress-Regel 1: HTTPS-Traffic von überall zulassen	Diese Regel lässt Backuptraffic von Oracle Cloud Infrastructure Database zu Recovery Service zu. zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein) Quelltyp: CIDR Quell-CIDR: CIDR des VCN, in dem sich die Datenbank befindet IP-Protokoll: TCP Quellportbereich: Alle Zielportbereich: 8005
Allgemeine Ingress-Regel 2: Lässt SQLNet Traffic von überall zu	Diese Regel ermöglicht Recovery-Katalogverbindungen und Echtzeit-Datenschutz von Oracle Cloud Infrastructure Database zu Recovery Service. zustandslos: Nein (alle Regeln müssen zustandsbehaftet sein) Quelltyp: CIDR Quell-CIDR: CIDR des VCN, in dem sich die Datenbank befindet IP-Protokoll: TCP Quellportbereich: Alle Zielportbereich: 2484

Hinweis:

Wenn Sie Netzwerksicherheitsgruppen (NSG) verwenden, um Sicherheitsregeln zu implementieren, oder wenn das Datenbank-VCN den Netzwerktraffic zwischen Subnetzen einschränkt, müssen Sie eine Egress-Regel für die Ports 2484 und 8005 von der Datenbank-NSG oder dem Subnetz zur Recovery Service-NSG oder zum erstellten Subnetz hinzufügen.

Recovery Service-Subnetz im VCN der Datenbank erstellen

Mit der OCI-Konsole können Sie ein privates Subnetz für Recovery Service in Ihrem virtuellen Cloud-Datenbanknetzwerk (VCN) konfigurieren.

Hinweis:

Stellen Sie für Oracle Database@Azure und Oracle Database@Google Cloud sicher, dass Sie das Backupsubnetz als Recovery-Servicesubnetz registrieren. Die empfohlene Subnetzgröße ist /24.

1. Wählen Sie im Navigationsmenü die Option Networking aus, und wählen Sie Virtuelle Cloud-Netzwerke aus, um die Listenseite Virtuelle Cloud-Netzwerke anzuzeigen.
2. Wählen Sie das VCN aus, in dem sich die Datenbank befindet.
3. Mit diesen Schritten erstellen Sie ein Recovery-Servicesubnetz mit einer Sicherheitsliste. Wenn Sie Netzwerksicherheitsgruppen verwenden möchten, fahren Sie mit Schritt 4 fort.
   1. Wählen Sie auf der Detailseite für das virtuelle Cloud-Netzwerk die Registerkarte Sicherheit aus.
   2. Wählen Sie unter Sicherheitslisten die Sicherheitsliste aus, die für das VCN verwendet wird.
   3. Wählen Sie auf der Detailseite für die Sicherheitsliste die Registerkarte Sicherheitsregeln aus.
      Sie müssen zwei Ingress-Regeln hinzufügen, damit die Zielports 8005 und 2484 zulässig sind.
   4. Wählen Sie Ingress-Regeln hinzufügen aus, und fügen Sie die folgenden Details hinzu, um eine zustandsbehaftete Ingress-Regel einzurichten, die HTTPS-Traffic von überall aus zulässt:
      • Quelltyp: CIDR
      • Quell-CIDR: Geben Sie das CIDR des VCN an, in dem sich die Datenbank befindet.
      • IP-Protokoll: TCP
      • Quellportbereich: Alle
      • Zielportbereich: 8005
      • Beschreibung: Geben Sie eine optionale Beschreibung der Ingress-Regel an, um die Sicherheitsregeln zu verwalten.
   5. Wählen Sie +Another Ingress-Regel aus, und fügen Sie die folgenden Details hinzu, um eine zustandsbehaftete Ingress-Regel einzurichten, die SQLNet-Traffic von überall aus zulässt:
      • Quelltyp: CIDR
      • Quell-CIDR: Geben Sie das CIDR des VCN an, in dem sich die Datenbank befindet.
      • IP-Protokoll: TCP.
      • Quellportbereich: Alle
      • Zielportbereich: 2484.
      • Beschreibung: Geben Sie eine optionale Beschreibung der Ingress-Regel an, um die Sicherheitsregeln zu verwalten.

      Hinweis:

      Wählen Sie ein IPv4-only-Subnetz für Recovery Service im Datenbank-VCN aus. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein IPv6-aktiviertes Subnetz unterstützt. Weitere Informationen finden Sie unter Subnetze erstellen.
      Weitere Informationen finden Sie unter Subnetzgröße und Sicherheitsregeln für Recovery-Servicesubnetz.
   6. Wählen Sie Ingress-Regeln hinzufügen aus.
   7. Wählen Sie auf der Detailseite für die Seite Virtuelles Cloud-Netzwerk die Registerkarte Subnetze und dann Subnetz erstellen aus.
   8. Erstellen Sie ein privates Subnetz, oder wählen Sie ein privates Subnetz aus, das bereits im Datenbank-VCN vorhanden ist. Oracle empfiehlt für das private Subnetz eine Subnetzgröße von /24 (256 IP-Adressen).
   9. Wählen Sie auf der Detailseite für das Subnetz die Registerkarte Sicherheit aus. Fügen Sie unter Sicherheitslisten die Sicherheitsliste mit den Ingress-Regeln hinzu, um die Zielports 8005 und 2484 zuzulassen.

      Hinweis:

      Wenn das Datenbank-VCN den Netzwerktraffic zwischen Subnetzen einschränkt, müssen Sie eine Egress-Regel für die Ports 2484 und 8005 aus dem Datenbanksubnetz dem von Ihnen erstellten Recovery Service-Subnetz hinzufügen.
4. Führen Sie die folgenden Schritte aus, um ein Recovery-Servicesubnetz mit Netzwerksicherheitsgruppen (NSG) zu erstellen.
   1. Wählen Sie auf der Detailseite für das virtuelle Cloud-Netzwerk die Registerkarte Sicherheit aus, und gehen Sie zum Abschnitt Netzwerksicherheitsgruppen.
   2. Wählen Sie Netzwerksicherheitsgruppe erstellen aus.
      Verwenden Sie eine der folgenden unterstützten Methoden, um Sicherheitsregeln mit NSGs zu konfigurieren:

      • Um die Netzwerkisolation zu implementieren, erstellen Sie eine NSG für die Datenbank-VNIC (fügen Sie Egress-Regeln hinzu, um die Ports 2484 und 8005 zuzulassen) und eine separate NSG für Recovery Service (adressieren Sie Ingress-Regeln, um die Ports 2484 und 8005 zuzulassen).
      • Erstellen und verwenden Sie eine einzelne NSG (mit Egress- und Ingress-Regeln) für die Datenbank-VNIC und den Recovery Service.
      Auf der Seite "Netzwerksicherheitsgruppe" werden die von Ihnen erstellten NSGs aufgeführt.

   Hinweis:

   Weitere Konfigurationsdetails finden Sie in der entsprechenden Dokumentation zu OCI Database Service.

Hinweis:

• Bei OCI-Datenbanken registriert Recovery Service automatisch das Standard-Recovery-Servicesubnetz.

  Sie können entweder das Standard-Recovery-Servicesubnetz verwenden oder ein eigenes Recovery-Servicesubnetz registrieren.

• Wenn Sie Sicherheitsregeln mit NSGs implementiert haben oder Ihre Zieldatenbank eine Oracle Multicloud-Datenbank ist, müssen Sie das Recovery-Servicesubnetz registrieren, indem Sie die Recovery-Service-NSGs (maximal fünf) hinzufügen.
• Oracle empfiehlt, nur ein einzelnes Recovery-Servicesubnetz pro VCN zu registrieren.

Recovery Service-Subnetz registrieren

Verwenden Sie dieses Verfahren, um ein Recovery-Servicesubnetz zu registrieren.

Hinweis:

Vor der Registrierung eines Recovery Service-Subnetzes:

• Stellen Sie sicher, dass Sie diese Netzwerkports öffnen und die Sicherheitsregeln für Recovery Service konfigurieren.
  • Port 2484 - Aktiviert SQL*Net-Verbindungen zum RMAN-Katalog, der von Recovery Service verwendet wird.
  • Port 8005 - Aktiviert Backup-Traffic von der Datenbank zum Recovery-Service.
• Stellen Sie sicher, dass Sie die obligatorischen Voraussetzungen geprüft und bestätigt haben, die unter Checkliste für erforderliche Anforderungen für Recovery Service beschrieben sind.
• Stellen Sie sicher, dass Sie ein Subnetz nur IPv4 für Recovery Service-Vorgänge in Ihrem Datenbank-VCN auswählen. Wählen Sie kein IPv6-aktiviertes Subnetz aus, da Recovery Service kein Subnetz unterstützt, das für IPv6 aktiviert ist.
• Wenn Ihr Backupsubnetz für in OCI bereitgestellte Oracle-Datenbanken die empfohlene Subnetzgröße (mindestens 12 kostenlose IP-Adressen) erfüllt, registriert Recovery Service das Recovery-Servicesubnetz automatisch. Wenn Sie das von Recovery Service registrierte Subnetz ersetzen möchten, führen Sie die unter Subnetze für ein Recovery Service-Subnetz hinzufügen oder ersetzen beschriebenen Schritte aus.
• Für Oracle Database@Azure und Oracle Database@Google Cloud müssen Sie das Recovery-Servicesubnetz registrieren, indem Sie Netzwerksicherheitsgruppen (NSG) verknüpfen.
• Mehrere geschützte Datenbanken können dasselbe Recovery Service-Subnetz verwenden. Um sicherzustellen, dass die erforderliche Anzahl von IP-Adressen zur Unterstützung der privaten Recovery Service-Endpunkte verfügbar ist, können Sie einem Recovery Service-Subnetz, das von mehreren geschützten Datenbanken verwendet wird, mehrere Subnetze zuweisen.

1. Wählen Sie auf der Listenseite Recovery-Servicesubnetze die Option Recovery-Servicesubnetz registrieren aus. Ausführliche Schritte zum Zugriff auf die Listenseite finden Sie unter Recovery-Service-Subnetze auflisten.
2. Geben Sie einen Namen für das Subnetz Recovery Service ein. Geben Sie keine vertraulichen Informationen in das Feld Name ein.
3. Prüfen Sie das Compartment, in dem Sie das Recovery-Servicesubnetz erstellen möchten. Im Feld Erstellen in Compartment können Sie bei Bedarf ein anderes Compartment auswählen.
4. Wählen Sie das Compartment aus, das das zu verwendende virtuelle Cloud-Netzwerk (VCN) enthält. Sie können ein VCN jeweils nur aus einem Compartment auswählen
5. Wählen Sie das virtuelle Cloud-Netzwerk aus.
6. Wählen Sie unter Subnetze die folgenden Optionen aus:
   1. Klicken Sie auf das Compartment, das das private Subnetz enthält, das Sie verwenden möchten.
   2. Wählen Sie das Subnetz aus, das Sie für Recovery Service-Vorgänge im ausgewählten VCN konfiguriert haben.
7. (Optional) Wählen Sie +Another-Subnetz aus, um dem Recovery Service-Subnetz ein zusätzliches Subnetz zuzuweisen.
   Wenn ein einzelnes Subnetz nicht genügend IP-Adressen zur Unterstützung der privaten Recovery Service-Endpunkte enthält, können Sie mehrere Subnetze zuweisen.
   Weitere Informationen finden Sie unter Privates Subnetz für Recovery Service-Vorgänge verwenden.
8. Blenden Sie Erweiterte Optionen ein, um die folgenden Optionen zu konfigurieren:
   • Netzwerksicherheitsgruppen

     Wenn Sie eine Netzwerksicherheitsgruppe (NSG) verwendet haben, um Sicherheitsregeln für den Recovery-Service im Datenbank-VCN zu implementieren, oder wenn Ihre Zieldatenbank eine Oracle Multicloud-Datenbank ist, müssen Sie die Recovery-Service-NSG zum Recovery-Service-Subnetz hinzufügen. Die Recovery Service-NSG kann sich in demselben Compartment oder in einem anderen Compartment befinden. Die NSG muss jedoch zu demselben VCN gehören, zu dem das angegebene Subnetz gehört.

     1. Wählen Sie im Abschnitt Netzwerksicherheitsgruppen die Option Netzwerksicherheitsgruppen zur Kontrolle des Traffics verwendet aus.
     2. Wählen Sie die Recovery Service-NSG aus, die Sie im Datenbank-VCN erstellt haben.
     3. Wählen Sie +Another Netzwerksicherheitsgruppe aus, um mehrere NSGs (maximal fünf) zu verknüpfen.

     Hinweis:

     Für Oracle Database@Azure und Oracle Database@Google Cloud müssen Sie das Recovery-Servicesubnetz registrieren, indem Sie Netzwerksicherheitsgruppen (NSG) verknüpfen.

   • Tags: (Optional) Fügen Sie der Ressource ein oder mehrere Tags hinzu. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

9. Wählen Sie Registrieren aus.

   Hinweis:

   Ein Recovery-Service-Subnetz muss mit mindestens einem Subnetz verknüpft sein, das zu Ihrem Datenbank-VCN gehört.

Sie können ein Subnetz ersetzen oder weitere Subnetze hinzufügen, um die erforderliche Anzahl privater Endpunkte zu unterstützen. Weitere Informationen finden Sie unter Subnetze für ein Recovery-Servicesubnetz hinzufügen oder ersetzen.

Ausführliche Schritte zum Hinzufügen von NSGs zu einem vorhandenen Recovery-Servicesubnetz finden Sie unter NSGs mit einem Recovery-Servicesubnetz verknüpfen.

Möglichkeiten zum Verwalten von Recovery Service-Ressourcen

In Oracle Cloud Infrastructure (OCI) können Sie Recovery Service-Ressourcen mit einer Vielzahl von Schnittstellen erstellen und verwalten, die für Ihre verschiedenen Managementanwendungsfälle bereitgestellt werden.

Schnittstelle	Weitere Informationen
OCI-Konsole	Konsole verwenden
APIs (Application Programming Interfaces)	Oracle Database Autonomous Recovery Service-API
CLIs (Command-Line Interfaces)	CLI verwenden