Configurar el servicio de recuperación

En este artículo se proporciona información sobre la configuración de Oracle Database Autonomous Recovery Service para su uso con Oracle Base Database Service.

Oracle Database Autonomous Recovery Service es una solución de copia de seguridad en la nube totalmente gestionada, independiente y centralizada para bases de datos de Oracle Cloud Infrastructure (OCI).

Para obtener más información sobre Recovery Service, consulte Acerca de Oracle Database Autonomous Recovery Service.

Lista de Control de Configuración de Requisitos para el Servicio de Recuperación

En esta lista de control se describen las tareas de requisitos que debe realizar para poder utilizar Recovery Service como destino de copia de seguridad para las bases de datos de su arrendamiento.

1. Asignación de Políticas para Permitir el Acceso al Servicio de Recuperación y los Recursos Relacionados
2. Revisión de los permisos del servicio Networking para configurar una subred
3. Revisión de los requisitos de tamaño de subred y las reglas de seguridad para la subred del servicio de recuperación
4. Creación de una subred del servicio de recuperación en la VCN de base de datos
5. Registrar Subred de Servicio de Recuperación
6. Asegúrese de que la subred del servicio de recuperación se puede comunicar con los servicios de Oracle
7. Asegúrese de que la base de datos tiene TDE totalmente configurado
8. Desactivar copias de seguridad operativas manuales

Asignación de Políticas para Permitir el Acceso al Servicio de Recuperación y los Recursos Relacionados

Asigne sentencias de política de modo que los servicios de base de datos de OCI soportados puedan utilizar Recovery Service para la protección de datos.

En la consola, utilice Policy Builder para asignar rápidamente las políticas necesarias para utilizar Recovery Service en su arrendamiento. En el Creador de políticas, seleccione Autonomous Recovery Service como Caso de uso de política y, a continuación, seleccione estas plantillas de política predefinidas:

• Capacidad de llevar a cabo cualquier acción con Autonomous Recovery Service
• Permitir a los usuarios gestionar políticas de protección en Autonomous Recovery Service.
• Permitir a los usuarios gestionar subredes de Autonomous Recovery Service

Capacidad de llevar a cabo cualquier acción con Autonomous Recovery Service

La plantilla de política Capacidad de hacer todo con Autonomous Recovery Service incluye todas las sentencias de política necesarias para proporcionar permisos para que los servicios de base de datos soportados utilicen Recovery Service y para que Recovery Service utilice los recursos de red para acceder a las bases de datos de una VCN.

Puede seleccionar la plantilla de política o agregar estas sentencias de política mediante el editor manual en Policy Builder.

Tabla - Sentencias de política necesarias para utilizar el servicio de recuperación

Sentencia de política	Crear en	Finalidad
Allow service database to manage recovery-service-family in tenancy	Compartimento raíz	Permite a OCI Database Service acceder a bases de datos protegidas, políticas de protección y subredes de Recovery Service dentro de su arrendamiento.
Allow service database to manage tagnamespace in tenancy	Compartimento raíz	Permite al servicio OCI Database acceder al espacio de nombres de etiqueta en un arrendamiento.
Allow service rcs to manage recovery-service-family in tenancy	Compartimento raíz	Permite a Recovery Service acceder y gestionar bases de datos protegidas, subredes de Recovery Service y políticas de protección dentro de su arrendamiento.
Allow service rcs to manage virtual-network-family in tenancy	Compartimento raíz	Permite al servicio de recuperación acceder y gestionar la subred privada en cada VCN de base de datos de su arrendamiento. La subred privada define la ruta de red para las copias de seguridad entre una base de datos y el servicio de recuperación.
Allow group admin to manage recovery-service-family in tenancy	Compartimento raíz	Permite a los usuarios de un grupo especificado acceder a todos los recursos del servicio de recuperación. Los usuarios que pertenecen al grupo especificado pueden gestionar bases de datos protegidas, políticas de protección y subredes del servicio de recuperación.

Permitir a los usuarios gestionar políticas de protección en Autonomous Recovery Service.

La plantilla de política Permitir a los usuarios gestionar políticas de protección en Autonomous Recovery Service otorga permisos para que los usuarios de un grupo especificado creen, actualicen y supriman recursos de política de protección en Recovery Service.

Puede seleccionar la plantilla de política o agregar esta sentencia de política mediante el editor manual en Policy Builder.

Tabla: Sentencia de política para gestionar políticas de protección

Sentencia de política	Crear en	Finalidad
Allow group {group name} to manage recovery-service-policy in compartment {location}	Compartimento propietario de las políticas de protección.	Permite a todos los usuarios de un grupo especificado crear, actualizar y suprimir políticas de protección en Recovery Service.

Consulte este ejemplo. Esta política otorga al grupo RecoveryServiceUser los permisos para crear, actualizar y suprimir políticas de protección en el compartimento ABC.

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

Permitir a los usuarios gestionar subredes de Autonomous Recovery Service

La plantilla de política Permitir a los usuarios gestionar subredes de Autonomous Recovery Service otorga permisos para que los usuarios de un grupo especificado creen, actualicen y supriman recursos de subred de Recovery Service.

Puede seleccionar la plantilla de política o agregar esta sentencia de política en Policy Builder.

Tabla - Sentencia de política para gestionar subredes del servicio de recuperación

Sentencia de política	Crear en	Finalidad
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	Compartimento propietario de las subredes del servicio de recuperación.	Permite a todos los usuarios de un grupo especificado crear, actualizar y suprimir subredes del servicio de recuperación.

Consulte este ejemplo. Esta política otorga al grupo RecoveryServiceAdmin los permisos para gestionar subredes del servicio de recuperación en el compartimento ABC.

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Para obtener más información sobre las políticas, consulte Gestión de políticas.

Acerca del uso de una subred privada para el servicio de recuperación

Recovery Service utiliza una subred privada dentro de una red virtual en la nube (VCN) en la que reside la base de datos. La subred privada define la ruta de red para las copias de seguridad entre la base de datos y el servicio de recuperación.

Oracle recomienda que la VCN de la base de datos tenga una única subred privada dedicada para las copias de seguridad en Recovery Service. La base de datos de Oracle Cloud puede residir en la misma subred privada que utiliza Recovery Service o en una subred diferente dentro de la misma VCN.

Puede crear una subred privada o utilizar una subred preexistente en la VCN de la base de datos. Oracle recomienda utilizar un tamaño de subred de /24 (256 direcciones IP).

Note:

Seleccione una subred solo IPv4 para Recovery Service en la VCN de la base de datos. No seleccione una subred activada para IPv6 porque el servicio de recuperación no soporta el uso de una subred activada para IPv6.

La VCN de base de datos necesita reglas de seguridad para permitir el tráfico de copia de seguridad entre la base de datos y el servicio de recuperación. Las reglas de seguridad deben incluir reglas de entrada con estado para permitir los puertos de destino 8005 y 2484. Puede utilizar estas funciones del servicio Networking para implantar reglas de seguridad:

• Listas de seguridad: una lista de seguridad permite agregar reglas de seguridad en el nivel de subred. En la VCN de la base de datos, seleccione la lista de seguridad que se utiliza para la subred del servicio de recuperación y agregue las reglas de entrada para permitir los puertos de destino 8005 y 2484.
• Grupos de seguridad de red: los grupos de seguridad de red (NSG) permiten un control granular sobre las reglas de seguridad que se aplican a las VNIC individuales de una VCN. Recovery Service soporta estas opciones para configurar reglas de seguridad mediante NSG:
  • Para implementar el aislamiento de red, cree un NSG para la VNIC de la base de datos (reglas de salida de direcciones para permitir los puertos 2484 y 8005) y un NSG independiente para Recovery Service (reglas de entrada para permitir los puertos 2484 y 8005).
  • Cree y utilice un único NSG (con reglas de salida y entrada) para la VNIC de la base de datos y el servicio de recuperación.

Note:

Si ha configurado una lista de seguridad y un NSG en la VCN de la base de datos, las reglas definidas en los NSG tienen prioridad sobre las reglas definidas en una lista de seguridad.

Después de crear una subred privada en la VCN de la base de datos, asigne las reglas de seguridad y, a continuación, registre la subred como una subred del servicio de recuperación en el servicio de recuperación. Si ha creado NSG para implantar reglas de seguridad, también debe asegurarse de asociar el NSG del servicio de recuperación a la subred del servicio de recuperación.

Note:

Oracle recomienda utilizar una subred privada para las copias de seguridad. Sin embargo, es posible utilizar una subred pública.

Para obtener más información, consulte:

• Listas de seguridad
• Grupos de seguridad de red
• Gestión de VCN y subred

Revisión de los requisitos de tamaño de subred y las reglas de seguridad para la subred del servicio de recuperación

Las reglas de seguridad son necesarias para permitir el tráfico de copia de seguridad entre una base de datos y un servicio de recuperación.

Note:

Seleccione una subred solo IPv4 para Recovery Service en la VCN de la base de datos. No seleccione una subred activada para IPv6 porque el servicio de recuperación no soporta el uso de una subred activada para IPv6.

Tabla: requisitos de tamaño de subred y reglas de entrada para una subred privada utilizada por el servicio de recuperación

Elemento	Requisitos
Tamaño de subred recomendado	/24 (256 Direcciones IP)
Regla general de entrada 1: permitir el tráfico HTTPS desde cualquier lugar	Esta regla permite realizar copias de seguridad del tráfico de la base de datos de OCI al servicio de recuperación. Sin estado: No (todas las reglas deben tener un estado) Tipo de origen: CIDR CIDR de origen: CIDR de la VCN en la que reside la base de datos Protocolo IP: TCP Rango de puertos de origen: Todo Rango de puertos de destino: 8005
Regla general de entrada 2: permite el tráfico SQLNet desde cualquier lugar	Esta regla permite conexiones al catálogo de recuperación y protección de datos en tiempo real desde OCI Database hasta Recovery Service. Sin estado: No (todas las reglas deben tener un estado) Tipo de origen: CIDR CIDR de origen: CIDR de la VCN en la que reside la base de datos Protocolo IP: TCP Rango de puertos de origen: Todo Rango de puertos de destino: 2484

Note:

Si utiliza grupos de seguridad de red (NSG) para implantar reglas de seguridad o si la VCN de la base de datos restringe el tráfico de red entre subredes, asegúrese de agregar una regla de salida para los puertos 2484 y 8005 del NSG o la subred de la base de datos al NSG o la subred del servicio de recuperación que cree.

Revisión de los permisos del servicio Networking para configurar una subred

Asegúrese de que tiene los permisos de servicio de red necesarios para crear una subred en la VCN de base de datos y para asignar reglas de seguridad para Recovery Service.

Tabla - Permisos de servicio de red necesarios para crear una subred privada y configurar reglas de seguridad para el servicio de recuperación

Operación	Políticas de IAM necesarias
Configurar una subred privada en una VCN de base de datos	use vcns para el compartimento en el que está la VCN use subnets para el compartimento en el que está la VCN manage private-ips para el compartimento en el que está la VCN manage vnics para el compartimento en el que está la VCN Gestionar VNIC para el compartimento en el que se aprovisiona la base de datos o en el que se debe aprovisionar

También puede crear una política que permita a un grupo especificado un acceso más amplio a los componentes de red.

Por ejemplo, utilice esta política para permitir que un grupo NetworkAdmin gestione todas las redes de cualquier compartimento de un arrendamiento.

Ejemplo - Política para administradores de red

Allow group NetworkAdmin to manage virtual-network-family in tenancy

Creación de una subred del servicio de recuperación en la VCN de base de datos

Utilice la consola de OCI para configurar una subred privada para Recovery Service en la red virtual en la nube (VCN) de la base de datos.

1. En el menú de navegación, seleccione Networking y, a continuación, seleccione Virtual cloud networks.

   Se abre la página de lista de la VCN. Todas las redes virtuales en la nube del compartimento seleccionado se muestran en una tabla.

2. Seleccione la VCN en la que reside la base de datos.

3. Utilice estos pasos para crear una subred de Recovery Service con una lista de seguridad. Si decide utilizar grupos de seguridad de red, omita este paso.

   1. En la página de detalles de la VCN, seleccione el separador Seguridad.
   2. Seleccione la lista de seguridad que se utiliza para la VCN. Debe agregar dos reglas de entrada para permitir los puertos de destino 8005 y 2484.
   3. En la página de detalles de la lista de seguridad, seleccione el separador Reglas de seguridad.

      Seleccione Agregar reglas de entrada y agregue los siguientes detalles para configurar una regla de entrada con estado que permita el tráfico HTTPS desde cualquier lugar:

      • Tipo de origen: CIDR
      • CIDR de origen: especifique el CIDR de la VCN en la que reside la base de datos.
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todo
      • Rango de puertos de destino: 8005
      • Descripción: especifique una descripción opcional de la regla de entrada para ayudar a gestionar las reglas de seguridad.

   4. Seleccione Agregar regla de entrada y agregue estos detalles para configurar una regla de entrada con estado que permita el tráfico SQLNet desde cualquier lugar:

      • Tipo de origen: CIDR
      • CIDR de origen: especifique el CIDR de la VCN en la que reside la base de datos.
      • Protocolo IP: TCP
      • Rango de puertos de origen: Todo
      • Rango de puertos de destino: 2484
      • Descripción: especifique una descripción opcional de la regla de entrada para ayudar a gestionar las reglas de seguridad.

      Note:

      Seleccione una subred solo IPv4 para Recovery Service en la VCN de la base de datos. No seleccione una subred activada para IPv6 porque el servicio de recuperación no soporta el uso de una subred activada para IPv6.
   5. Vuelva a la página de detalles de la VCN y seleccione el separador Subredes.
   6. Seleccione Create Subnet.
   7. Cree una subred privada o seleccione una subred privada que ya exista en la VCN de la base de datos. Oracle recomienda un tamaño de subred de /24 (256 direcciones IP) para la subred privada.
   8. En la página de detalles de la subred, seleccione el separador Seguridad.
   9. Seleccione Agregar lista de seguridad para agregar la lista de seguridad que incluye las reglas de entrada para permitir los puertos de destino 8005 y 2484.

      Note:

      Si la VCN de la base de datos restringe el tráfico de red entre subredes, asegúrese de agregar una regla de salida para los puertos 2484 y 8005 de la subred de la base de datos a la subred del servicio de recuperación que cree.

4. Utilice estos pasos para crear una subred del servicio de recuperación con grupos de seguridad de red (NSG).

   1. Vuelva a la página de detalles de la VCN y seleccione el separador Subredes.
   2. En la sección Grupos de seguridad de red, seleccione Crear grupo de seguridad de red.

   3. Utilice uno de estos métodos admitidos para configurar reglas de seguridad mediante NSG:

      • Para implementar el aislamiento de red, cree un NSG para la VNIC de la base de datos (reglas de salida de direcciones para permitir los puertos 2484 y 8005) y un NSG independiente para Recovery Service (reglas de entrada para permitir los puertos 2484 y 8005).
      • Cree y utilice un único NSG (con reglas de salida y entrada) para la VNIC de la base de datos y el servicio de recuperación.

      La página Grupo de seguridad de red muestra los NSG que crea.

5. Después de crear la subred del servicio de recuperación en la VCN de base de datos, continúe con el registro de la subred como una subred del servicio de recuperación. Oracle recomienda registrar una única subred de Recovery Service por VCN. Si ha implantado reglas de seguridad mediante NSG, también debe asegurarse de agregar el NSG del servicio de recuperación a la subred del servicio de recuperación.

Registrar Subred de Servicio de Recuperación

Después de crear una subred privada para Recovery Service en la VCN de la base de datos, utilice este procedimiento para registrar la subred en Recovery Service.

Varias bases de datos protegidas pueden utilizar la misma subred del servicio de recuperación. Para garantizar que el número necesario de direcciones IP esté disponible para soportar los puntos finales privados del servicio de recuperación, puede asignar varias subredes a una subred del servicio de recuperación que utilice más de una base de datos protegida.

Note:

Seleccione una subred solo IPv4 para Recovery Service en la VCN de la base de datos. No seleccione una subred activada para IPv6 porque el servicio de recuperación no soporta el uso de una subred activada para IPv6.

Utilice los siguientes pasos para registrar la subred del servicio de recuperación:

1. En el menú de navegación, haga clic en Oracle Database y seleccione Copias de seguridad de bases de datos.
2. Seleccione Subredes de Servicio de Recuperación.

   Se abre la página de lista de subredes del servicio de recuperación. Todas las subredes del servicio de recuperación del compartimento seleccionado se muestran en una tabla.

3. Seleccione Register Recovery Service subnet.
4. En el panel Registrar subred de Recovery Service, introduzca los siguientes detalles:
5. En el campo Nombre, introduzca un nombre para la subred del servicio de recuperación.
6. En el campo Compartimento, seleccione el compartimento en el que desea crear la subred del servicio de recuperación.
7. En el campo Red virtual en la nube, seleccione la VCN de base de datos. Seleccione Compartimento para seleccionar una VCN que pertenezca a un compartimento diferente.
8. En el campo Subred, seleccione una subred privada que haya configurado para las operaciones del servicio de recuperación en la VCN de la base de datos. Seleccione Compartimento para seleccionar una subred privada de otro compartimento.
9. (Opcional) Haga clic en Subred +Another para asignar una subred adicional a la subred del servicio de recuperación. Si una única subred no contiene suficientes direcciones IP para admitir los puntos finales privados del servicio de recuperación, puede asignar varias subredes.

10. Amplíe Opciones avanzadas para introducir estas funciones adicionales:

    • Grupos de seguridad de red
    • Etiquetas

    Si ha utilizado un grupo de seguridad de red (NSG) para implantar reglas de seguridad para Recovery Service en la VCN de base de datos, debe agregar el NSG de Recovery Service a la subred de Recovery Service. El NSG del servicio de recuperación puede residir en el mismo compartimento o en un compartimento diferente. Sin embargo, el NSG debe pertenecer a la misma VCN a la que pertenece la subred especificada.

    1. En la sección Network security groups, seleccione Use network security groups to control traffic.
    2. Seleccione el NSG del servicio de recuperación que ha creado en la VCN de la base de datos.
    3. Seleccione el grupo de seguridad de red +Another para asociar varios NSG (máximo cinco).

    (Opcional) En el campo Tag Namespace, considere agregar un espacio de nombres de etiqueta o etiquetar el control con un espacio de nombres de etiqueta existente.

11. Seleccione Registrar.

Puede sustituir una subred o agregar más subredes para soportar el número necesario de puntos finales privados.

Utilice estos pasos para actualizar una subred de Recovery Service existente:

1. En la página de detalles Subred de servicio de recuperación, seleccione el separador Subredes.
2. Seleccione Agregar subredes y seleccione las subredes que desea agregar.
3. Para sustituir una subred existente, seleccione el menú Acción y seleccione Suprimir. A continuación, puede agregar otra subred.

Note:

Una subred del servicio de recuperación debe estar asociada a al menos una subred que pertenezca a la VCN de la base de datos.

Utilice estos pasos para gestionar los grupos de seguridad de red (NSG) para una subred del servicio de recuperación existente:

1. En el separador Network security groups, seleccione Add network security groups.
2. Seleccione y agregue los grupos de seguridad de red de Recovery Service (cinco como máximo).
3. Para eliminar un NSG, seleccione el recurso y seleccione Eliminar.

Asegúrese de que la subred del servicio de recuperación se puede comunicar con los servicios de Oracle

La subred de servicio de recuperación que ha registrado debe comunicarse con el servicio de recuperación.

Para acceder al servicio, la tabla de enrutamiento de la subred privada debe incluir Todos los servicios de IAD en Oracle Services Network.

Asegúrese de que la base de datos tiene TDE totalmente configurado

Al utilizar el servicio de recuperación, debe cifrar por completo el TDE de la base de datos.

Para las nuevas bases de datos que nacen en la nube, esto ya debería hacerse. Sin embargo, si crea una base de datos stub en OCI y migra una base de datos a Oracle Database Cloud Service desde una ubicación local o en otro lugar, es posible que no cumpla todos los criterios. Para estas bases de datos, debe verificar que cumple los requisitos para realizar una copia de seguridad en el servicio de recuperación. Tengo una publicación de blog que puede encontrar aquí que describirá qué buscar con consultas para ejecutar.

Debe cumplir estos 3 criterios:

• Debe tener WALLET_ROOT configurado en la base de datos. Si sigue utilizando sqlnet.ora, debe utilizar dbaascli para definir correctamente WALLET_ROOT para todas las bases de datos que utilizarán el servicio de recuperación. Para activar el parámetro wallet_root SPFILE para una base de datos existente, ejecute:

  dbaascli tde enableWalletRoot

  Note:

  La definición de ENCRYPTION_WALLET_LOCATION en sqlnet.ora no está soportada y quedará en desuso.
• Debe tener una clave de cifrado definida para la CDB y todas las PDB de la base de datos.
• TODOS los tablespaces deben estar cifrados con TDE antes de ejecutar la primera copia de seguridad.

Desactivar copias de seguridad operativas manuales

En algunos casos, los usuarios de OCI realizan copias de seguridad operativas manuales. Estas copias de seguridad se ejecutan fuera de las herramientas estándar y soportan la recuperación point-in-time (copias de seguridad que no sonKEEP).

Si está ejecutando cualquiera de estos tipos de copias de seguridad operativas, es fundamental que las desactive en este punto. La ejecución de copias de seguridad operativas en dos ubicaciones diferentes puede causar problemas con ambas copias de seguridad y puede crear escenarios de pérdida de datos. Por lo tanto, antes de activar las copias de seguridad automáticas, debe desactivar los scripts y procesos de copia de seguridad manual en otros destinos de almacenamiento.

Note:

Si utiliza las herramientas para copias de seguridad de almacenamiento de objetos y cambia al servicio de recuperación, las herramientas automatizarán la operación de switchover, y todas las copias de seguridad anteriores permanecerán disponibles.

---

Título e Información de Copyright

Copyright ©2024,2025,

Oracle y/o sus filiales.