Oracle Data Guard für Oracle Exadata Database Service on Dedicated Infrastructure konfigurieren

Data Guard für Oracle Exadata Database Service on Dedicated Infrastructure unterstützt von Oracle verwaltete Schlüssel und vom Kunden verwaltete Schlüssel für Transparent Data Encryption (TDE). Von Oracle verwaltete Schlüssel verwenden passwortbasierte Wallets, um TDE-Schlüssel zu speichern und zu verwalten, während vom Kunden verwaltete Schlüssel es Ihnen ermöglichen, TDE-Schlüssel in OCI Vault zu speichern und zu verwalten. Standardmäßig verwendet Oracle Exadata Database Service on Dedicated Infrastructure von Oracle verwaltete Schlüssel.

Sicherheits-Policys und dynamische Gruppen prüfen

Wenn Ihre Datenbank OCI Vault zum Speichern von vom Kunden verwalteten Schlüsseln verwendet, müssen Sie die folgenden Schritte ausführen, um zu prüfen, ob alle erforderlichen Sicherheits-Policys und dynamischen Gruppen ordnungsgemäß konfiguriert sind. Sie können diesen Abschnitt überspringen, wenn Ihre Datenbank von Oracle verwaltete Schlüssel verwendet.

  1. Navigieren Sie in der OCI-Konsole zum Hauptmenü, und klicken Sie auf Identität und Sicherheit.
  2. Klicken Sie auf Dynamische Gruppen.
    Klicken Sie in neueren Mandanten auf Domains und dann auf Dynamische Gruppen.
  3. Stellen Sie sicher, dass eine dynamische Gruppe mit einer Regel wie der Folgenden konfiguriert ist:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. Navigieren und Identität & Sicherheit, und klicken Sie auf Policys.
    Prüfen Sie, ob eine Sicherheits-Policy mit den folgenden Regeln vorhanden ist:
    Allow service keymanagementservice to manage vaults in tenancy
    Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
    compartment_name_where_OCI_Vault_is_configured
    Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

OCI Vault-Replikation prüfen

Wenn Sie Oracle Data Guard zwischen zwei Regionen konfigurieren und Ihre Datenbank vom Kunden verwaltete Schlüssel verwendet, muss ein Virtual Private Vault zwischen den beiden Regionen repliziert werden. Sie können diesen Abschnitt überspringen, wenn Ihre Datenbank von Oracle verwaltete Schlüssel verwendet. In diesen Schritten wird beschrieben, wie Sie prüfen, ob Ihr Virtual Private Vault über beide Regionen hinweg repliziert wird.

  1. Navigieren Sie zum OCI-Menü, und klicken Sie auf Identität und Sicherheit.
  2. Klicken Sie auf Vault.
  3. Prüfen Sie in der Liste der verfügbaren Vaults, ob die Spalte Virtuell privat auf Ja gesetzt ist, damit der Vault für die Datenbanken in der Data Guard-Verknüpfung verwendet wird.
    Wenn noch kein Vault vorhanden ist, klicken Sie auf Vault erstellen, und geben Sie einen Namen für den Vault an. Wählen Sie die Option Virtuellen privaten Vault erstellen aus, und klicken Sie auf Vault erstellen.
  4. Prüfen Sie, ob der Virtual Private Vault in der Region repliziert wird, in der die Standbydatenbank erstellt wird:
    1. Navigieren Sie zum OCI-Menü, und wählen Sie Identität und Sicherheit aus.
    2. Klicken Sie auf Vault.
    3. Wählen Sie den Vault, der für die Datenbanken in der Data Guard-Verknüpfung verwendet werden soll.
      Wenn die Vault-Replikation für diesen Vault aktiviert ist, werden auf der Vault-Seite die Replikationsrolle und die Replikationsdetails angezeigt. Wenn keine Replikationsinformationen angezeigt werden, wird der Vault nicht repliziert.
  5. Um den Vault in eine andere Region zu replizieren, klicken Sie auf Vault replizieren. Wählen Sie die Region aus, in der die Standbydatenbank konfiguriert werden soll, und klicken Sie auf Replikat erstellen.
    Der Vault wird in der anderen Region repliziert und ist nach einigen Minuten zum Erstellen von Data Guard-Verknüpfungen verfügbar.
  6. Prüfen Sie, ob vorhandene Schlüssel für vorhandene Datenbanken vom Quell-Vault in den Replikat-Vault repliziert wurden.
  7. Erstellen Sie im Quell-Vault neue Schlüssel für neue Datenbanken, und prüfen Sie, ob diese im Replikat-Vault repliziert werden.

Regionsinternes Oracle Data Guard konfigurieren

In diesen Schritten wird beschrieben, wie Sie Oracle Data Guard für Oracle Exadata Database Service on Dedicated Infrastructure-Datenbanken in derselben Region aktivieren.

  1. Navigieren Sie zum OCI-Menü, und klicken Sie auf Oracle Database.
  2. Klicken Sie auf Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Wählen Sie das Compartment aus, in dem das Oracle Exadata Database Service on Dedicated Infrastructure-VM-Cluster konfiguriert ist.
  4. Wählen Sie das VM-Cluster aus, in dem die mit Oracle Data Guard zu konfigurierende Datenbank gespeichert ist.
  5. Klicken Sie auf den Datenbanknamen, um die Datenbank auszuwählen.
  6. Klicken Sie unter "Ressourcen" auf Data Guard-Verknüpfungen.
  7. Klicken Sie auf Standby hinzufügen. Das Fenster "Standby hinzufügen" wird geöffnet. Die Datenbankversion bestimmt die angezeigten Optionen. Die Datenbanken Version 11g und 12c unterstützen Data Guard-Verknüpfungen, während die Versionen 19c und höher Data Guard-Gruppen unterstützen. Wählen Sie aus, ob eine Data Guard-Verknüpfung oder eine Data Guard-Gruppe konfiguriert werden soll.
  8. Konfigurieren Sie die Data Guard-Optionen:
    • Peerregion: Die Region für die ausgewählte Datenbank wird standardmäßig angezeigt. Verwenden Sie diese Region für die Oracle Data Guard-Konfiguration.
    • Availability-Domain: Die Availability-Domain für die ausgewählte Datenbank wird standardmäßig angezeigt. Verwenden Sie diese Availability-Domain, wenn die Standbydatenbank in derselben Availability-Domain wie die Primärdatenbank konfiguriert werden soll. Wählen Sie andernfalls eine andere Availability-Domain aus.
    • Exadata-Infrastruktur: Wählen Sie die Exadata-Infrastruktur aus, auf der die Standbydatenbank ausgeführt wird.
    • Data Guard-Peer-Ressourcentyp: Wählen Sie ein VM-Cluster aus.
    • VM-Cluster: Wählen Sie das VM-Cluster aus, auf dem die Standbydatenbank ausgeführt wird. Wenn die Standbydatenbank auf einem VM-Cluster in einem anderen Compartment ausgeführt wird, wählen Sie das entsprechende Compartment aus. Standardmäßig ist dasselbe Compartment wie die Primärdatenbank ausgewählt.
    • Data Guard-Typ: Wählen Sie Data Guard oder Active Data Guard aus. Für Active Data Guard ist möglicherweise eine zusätzliche Lizenz erforderlich.
    • Schutzmodus: Wählen Sie "Max. Performance" oder "Max. Verfügbarkeit" aus.
    • Transport: Synchron oder asynchron, je nach Auswahl des Schutzmodus. Wenn der Schutzmodus "Max. Performance" lautet, ist der Transport asynchron. Wenn der Schutzmodus "Max. Verfügbarkeit" lautet, ist der Transport synchron.
    • Datenbank-Home: Wählen Sie ein vorhandenes Datenbank-Home aus, oder erstellen Sie ein neues Datenbank-Home. Stellen Sie sicher, dass das Datenbank-Home dieselbe Oracle-Datenbanksoftwareversion und dieselben Patches wie die Primärdatenbank ausführt.
    • Eindeutiger Datenbankname: (Optional) Geben Sie einen eindeutigen Datenbanknamen für die Peer-Standbydatenbank an. Wenn kein eindeutiger Datenbankname angegeben wird, konfiguriert die OCI-Schnittstelle standardmäßig automatisch einen eindeutigen Datenbanknamen für die Standbydatenbank.
    • Kennwort: Geben Sie das Kennwort sys für die Primärdatenbank an. Das sys-Kennwort und das TDE-Wallet-Kennwort müssen bei Verwendung von von von Oracle verwalteten Schlüsseln identisch sein.
    • TDE-Kennwort: Geben Sie das TDE-Kennwort für die Primärdatenbank ein. Das sys- und das TDE-Kennwort können bei Verwendung von von Oracle verwalteten Schlüsseln identisch sein.
  9. Klicken Sie auf Standby hinzufügen.
Nachdem die Arbeitsanforderung abgeschlossen ist, wird im Standby-VM-Cluster eine neue Datenbank erstellt, und zwischen den beiden Datenbanken wird eine Data Guard-Gruppe oder -Verknüpfung erstellt. Die neue Datenbank wird als Standbydatenbank konfiguriert.

Regionsübergreifende Oracle Data Guard konfigurieren

In diesen Schritten wird beschrieben, wie Sie Oracle Data Guard für Oracle Exadata Database Service on Dedicated Infrastructure-Datenbanken in verschiedenen Regionen aktivieren.

  1. Wählen Sie in Ihrem OCI-Mandanten die Region aus, in der die Primärdatenbank konfiguriert ist.
  2. Remote-Peering-Verbindung für das VCN erstellen, in dem die Primärdatenbank konfiguriert ist:
    1. Wählen Sie Networking aus, und wählen Sie Virtuelle Cloud-Netzwerke aus.
    2. Wählen Sie Kundenkonnektivität.
    3. Wählen Sie Dynamisches Routinggateway aus. Wählen Sie ein vorhandenes dynamisches Routinggateway (DRG) aus, oder erstellen Sie ein neues dynamisches Routinggateway, falls noch keines vorhanden ist.
    4. Wählen Sie im Menü "Dynamisches Routinggateway" die Option Virtuelle Cloud-Netzwerke - Anhänge. Erstellen Sie einen Anhang für virtuelle Cloud-Netzwerke, wenn dieser noch nicht vorhanden ist.
    5. Wählen Sie im Menü "Dynamisches Routinggateway" die Option "Remote-Peering-Verbindungsanhänge" aus, und klicken Sie auf Remote-Peering-Verbindung erstellen. Geben Sie einen Namen für die Remote-Peering-Verbindung ein, und klicken Sie auf Remote-Peering-Verbindung erstellen.
      Dadurch wird ein Remote-Peering-Verbindungsanhang im Peering-Status "Neu" (nicht per Peering) erstellt. Der Remote-Peering-Verbindungsanhang enthält das erforderliche Routing vom VCN der Primärdatenbank zum DRG.
  3. Erstellen Sie eine Route vom VCN der Primärdatenbank zum VCN der Standbydatenbank:
    1. Wählen Sie im OCI-Menü die Option Networking und dann Virtuelle private Netzwerke aus. Wählen Sie das VCN für die Region der Primärdatenbank aus.
    2. Wählen Sie im VCN-Menü die Option Routentabellen aus, und wählen Sie dann die Routentabelle für das private Subnetz aus.
    3. Fügen Sie eine Route zum VCN hinzu, in dem die Standbydatenbank konfiguriert wird.
      Beispiel: Wenn die Standbydatenbank in einem VCN mit der IP-Adresse 10.1.0.0/16 konfiguriert wird, fügen Sie mit dem DRG eine Route für das Ziel 10.1.0.0/16 hinzu.
  4. Fügen Sie der Sicherheitsliste des privaten Netzwerks eine Ingress-Sicherheitsregel hinzu, um Verbindungen zum Port 1521 aus dem Netzwerk zuzulassen, in dem die Standbydatenbank konfiguriert ist (im obigen Beispiel Netzwerk 10.1.0.0/16).
  5. Wählen Sie die Region aus, in der die Standbydatenbank ausgeführt wird.
  6. Remote-Peering-Verbindung für das VCN erstellen, in dem die Standbydatenbank konfiguriert wird:
    1. Wählen Sie im OCI-Menü die Option Networking und dann Virtuelle Cloud-Netzwerke aus.
    2. Wählen Sie Kundenkonnektivität.
    3. Wählen Sie Dynamisches Routinggateway aus, und wählen Sie ein vorhandenes DRG aus. Create one if one does not already exist, and select the new DRG.
    4. Wählen Sie im Menü "Dynamisches Routinggateway" die Option "Anhänge für virtuelle Cloud-Netzwerke". Erstellen Sie einen VCN-Anhang, falls noch keiner vorhanden ist.
    5. Wählen Sie im Menü "Dynamisches Routinggateway" die Option Remote-Peering-Verbindungsanhänge aus, und klicken Sie auf Remote-Peering-Verbindung erstellen. Geben Sie einen Namen für die Remote-Peering-Verbindung ein, und klicken Sie auf Remote-Peering-Verbindung erstellen.
      Ein neuer Remote-Peering-Verbindungsanhang mit dem Peering-Status "Neu" (nicht mit Peering) wird erstellt. Der Anhang für die Remote-Peering-Verbindung enthält das erforderliche Routing vom VCN der Standbydatenbank zum DRG. Notieren Sie sich die OCID der Remote-Peering-Verbindung, die während des Peering-Schritts verwendet wird.
  7. Erstellen Sie eine Route vom VCN der Standbydatenbank zum VCN der Primärdatenbank:
    1. Klicken Sie im OCI-Menü auf Networking und dann auf Virtuelle private Netzwerke. Wählen Sie das VCN für die Region aus, in der die Standbydatenbank konfiguriert wird.
    2. Klicken Sie im Menü "Virtuelle Cloud-Netzwerke" auf Routentabellen, und wählen Sie die Routentabelle für das private Subnetz aus.
    3. Fügen Sie eine Route zum VCN hinzu, in dem die Primärdatenbank konfiguriert ist.
      Beispiel: Wenn die Primärdatenbank in einem VCN mit der IP-Adresse 10.0.0.0/16 ausgeführt wird, fügen Sie mit dem DRG eine Route für das Ziel 10.0.0.0/16 hinzu.
  8. Fügen Sie der Sicherheitsliste des privaten Netzwerks eine Ingress-Sicherheitsregel hinzu, um Verbindungen zum Port 1521 aus dem VCN zuzulassen, in dem die Primärdatenbank konfiguriert ist (im obigen Beispiel aus dem Netzwerk 10.0.0.0/16).
  9. Navigieren Sie in der Region der Primärdatenbank zum OCI-Menü, und wählen Sie Networking aus. Klicken Sie auf Virtuelle Cloud-Netzwerke, und wählen Sie dann das VCN für das Netzwerk aus, in dem die Primärdatenbank ausgeführt wird.
  10. Klicken Sie auf Remote-Peering-Verbindungen - Anlagen.
    Die in Schritt 2.e erstellte Remote-Peering-Verbindung wird im Peering-Status "Neu" (nicht mit Peering) angezeigt.
  11. Klicken Sie auf den Namen der Remote-Peering-Verbindung.
    Die Details der Remote-Peering-Verbindung werden angezeigt.
  12. Klicken Sie auf der Detailseite für den Remote-Peering-Kontext auf Verbindung herstellen.
    Ein neues Fenster wird geöffnet.
  13. Wählen Sie die Region, in der die Standbydatenbank ausgeführt wird, und die OCID der Remote-Peer-Verbindung der Standbydatenbank (OCID aus Schritt 6.e.)
    Wenn das Peering erfolgreich ist, ändert sich der Peering-Status von "Neu", "Ausstehend" in "Peering".
    Die Netzwerkkommunikation zwischen den VCNs der beiden Regionen wurde eingerichtet, und Data Guard kann regionsübergreifend konfiguriert werden.
  14. Klicken Sie im OCI-Menü auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
  15. Wählen Sie das Compartment aus, in dem das VM-Cluster der Primärdatenbank konfiguriert ist.
  16. Wählen Sie das VM-Cluster mit der Datenbank aus, die mit Oracle Data Guard konfiguriert werden soll.
  17. Klicken Sie auf den Datenbanknamen, um die Datenbank auszuwählen.
  18. Klicken Sie unter "Ressourcen" auf Data Guard-Verknüpfungen.
  19. Klicken Sie auf Standby hinzufügen. Das Fenster "Standby hinzufügen" wird geöffnet. Die Datenbankversion bestimmt die angezeigten Optionen. Die Datenbanken Version 11g und 12c unterstützen Data Guard-Verknüpfungen, während die Versionen 19c und höher Data Guard-Gruppen unterstützen. Wählen Sie aus, ob eine Data Guard-Verknüpfung oder eine Data Guard-Gruppe konfiguriert werden soll.
  20. Konfigurieren Sie die Data Guard-Optionen:
    • Region: Wählen Sie die Region aus, in der die Standbydatenbank ausgeführt wird. Es muss eine andere Region angegeben werden, da es sich um eine regionsübergreifende Oracle Data Guard-Konfiguration handelt.
    • Availability-Domain: Wählen Sie die Availability-Domain aus, in der der Standby-Oracle Exadata Database Service on Dedicated Infrastructure bereitgestellt ist.
    • Exadata-Infrastruktur: Wählen Sie die Exadata-Infrastruktur aus, auf der die Standbydatenbank ausgeführt wird.
    • VM-Cluster: Wählen Sie das VM-Cluster aus, auf dem die Standbydatenbank ausgeführt wird. Wenn die Standbydatenbank auf einem VM-Cluster in einem anderen Compartment ausgeführt wird, wählen Sie das entsprechende Compartment aus. Standardmäßig ist dasselbe Compartment wie die Primärdatenbank ausgewählt.
    • Data Guard-Typ: Wählen Sie Data Guard oder Active Data Guard aus. Active Data Guard erfordert möglicherweise eine zusätzliche Lizenz.
    • Schutzmodus: Wählen Sie "Max. Performance". Dies ist die einzige unterstützte Option für regionsübergreifendes Data Guard.
    • Transport: Wählen Sie "Asynchron" aus. Dies ist die einzige unterstützte Option für regionsübergreifendes Data Guard.
    • Datenbank-Home: Wählen Sie ein vorhandenes Datenbank-Home aus, oder erstellen Sie ein neues Datenbank-Home. Stellen Sie sicher, dass das Datenbank-Home dieselbe Oracle-Datenbanksoftwareversion und dieselben Patches wie die Primärdatenbank ausführt.
    • Eindeutiger Datenbankname: (Optional) Geben Sie einen eindeutigen Datenbanknamen für die Peer-Standbydatenbank ein. Wenn kein eindeutiger Datenbankname eingegeben wird, konfiguriert die OCI-Schnittstelle standardmäßig automatisch einen eindeutigen Datenbanknamen für die Standbydatenbank.
    • Kennwort: Geben Sie das Kennwort sys für die Primärdatenbank an. Das sys-Kennwort und das TDE-Wallet-Kennwort müssen bei Verwendung von von von Oracle verwalteten Schlüsseln identisch sein.
    • TDE-Kennwort: Geben Sie das TDE-Kennwort für die Primärdatenbank ein. Das sys- und das TDE-Kennwort können bei Verwendung von von Oracle verwalteten Schlüsseln identisch sein.
  21. Klicken Sie auf Standby hinzufügen.
Nachdem die Arbeitsanforderung abgeschlossen ist, wird im Standby-VM-Cluster eine neue Datenbank erstellt, und zwischen den beiden Datenbanken wird eine Data Guard-Gruppe oder -Verknüpfung erstellt. Die neue Datenbank wird als Standbydatenbank konfiguriert.