Configuración de Oracle Data Guard para Oracle Exadata Database Service on Dedicated Infrastructure

Data Guard para Oracle Exadata Database Service on Dedicated Infrastructure soporta claves gestionadas por Oracle y claves gestionadas por el cliente para el cifrado de datos transparente (TDE). Las claves gestionadas por Oracle utilizan carteras basadas en contraseñas para almacenar y gestionar claves de TDE, mientras que las claves gestionadas por el cliente permiten almacenar y gestionar claves de TDE en OCI Vault. Por defecto, Oracle Exadata Database Service on Dedicated Infrastructure utiliza claves gestionadas por Oracle.

Verificación de políticas de seguridad y grupos dinámicos

Si la base de datos utiliza OCI Vault para almacenar claves gestionadas por el cliente, debe seguir los pasos que se indican a continuación para verificar que todas las políticas de seguridad necesarias y los grupos dinámicos están correctamente configurados. Puede omitir esta sección si la base de datos utiliza claves gestionadas por Oracle.

  1. En la consola de OCI, vaya al menú principal y haga clic en Identidad y seguridad.
  2. Haga clic en Grupos dinámicos.
    En arrendamientos más recientes, haga clic en Dominios y, a continuación, en Grupos dinámicos.
  3. Verifique que un grupo dinámico esté configurado con una regla similar a la siguiente:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. Vaya a Identidad y seguridad y, a continuación, haga clic en Políticas.
    Verifique que existe una política de seguridad con las siguientes reglas:
    Allow service keymanagementservice to manage vaults in tenancy
    Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
    compartment_name_where_OCI_Vault_is_configured
    Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

Verificar replicación de OCI Vault

Si está configurando Oracle Data Guard entre dos regiones y la base de datos utiliza claves gestionadas por el cliente, se debe replicar un almacén privado virtual entre las dos regiones. Puede omitir esta sección si la base de datos utiliza claves gestionadas por Oracle. En estos pasos se describe cómo verificar que el almacén privado virtual se está replicando en ambas regiones.

  1. Vaya al menú OCI y haga clic en Identidad y seguridad.
  2. Haga clic en Almacén.
  3. En la lista de almacenes disponibles, verifique que la columna Virtual Private esté definida en yes para que el almacén se utilice para las bases de datos de la asociación de Data Guard.
    Si aún no existe un almacén, haga clic en Crear almacén y proporcione un nombre para el almacén. Seleccione la opción Convertirlo en un almacén privado virtual y, a continuación, haga clic en Crear almacén.
  4. Verifique que el almacén privado virtual se replica en la región donde se creará la base de datos en espera:
    1. Vaya al menú de OCI y seleccione Identidad y seguridad.
    2. Haga clic en Almacén.
    3. Seleccione el almacén que se va a utilizar para las bases de datos de la asociación de Data Guard.
      Si la replicación de almacén está activada para este almacén, la página del almacén mostrará el rol de replicación y los detalles de replicación. Si no se muestra información de replicación, el almacén no se está replicando.
  5. Para replicar el almacén en otra región, haga clic en Replicar almacén. Seleccione la región en la que se configurará la base de datos en espera y, a continuación, haga clic en Crear réplica.
    El almacén se replica en la otra región y estará disponible para crear asociaciones de Data Guard después de unos minutos.
  6. Verifique que las claves existentes para las bases de datos existentes se hayan replicado desde el almacén de origen al almacén de réplica.
  7. En el almacén de origen, cree nuevas claves para nuevas bases de datos y verifique que se replican en el almacén de réplicas.

Configuración de Oracle Data Guard en la región

En estos pasos se describe cómo activar Oracle Data Guard para bases de datos de Oracle Exadata Database Service on Dedicated Infrastructure en la misma región.

  1. Vaya al menú de OCI y haga clic en Oracle Database.
  2. Haga clic en Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Seleccione el compartimento en el que está configurado el cluster de VM de Oracle Exadata Database Service on Dedicated Infrastructure.
  4. Seleccione el cluster de VM en el que se encuentra la base de datos que se va a configurar con Oracle Data Guard.
  5. Haga clic en su nombre para seleccionar la base de Datos.
  6. En Recursos, haga clic en Asociaciones a Data Guard.
  7. Haga clic en Agregar Base de datos en espera. Se abrirá una ventana Agregar en espera; la versión de la base de datos determina las opciones que se muestran. Las bases de datos 11g y 12c soportan asociaciones de Data Guard, mientras que las versiones 19c y posteriores soportan grupos de Data Guard. Seleccione si desea configurar una asociación de Data Guard o un grupo de Data Guard.
  8. Configure las opciones de Data Guard:
    • Región peer: la región de la base de datos seleccionada se muestra por defecto. Utilice esta región para la configuración de Oracle Data Guard.
    • Dominio de disponibilidad: el dominio de disponibilidad de la base de datos seleccionada se muestra por defecto. Utilice este dominio de disponibilidad si la base de datos en espera se va a configurar en el mismo dominio de disponibilidad que la base de datos primaria. De lo contrario, seleccione un dominio de disponibilidad diferente.
    • Infraestructura de Exadata: seleccione la infraestructura de Exadata en la que se ejecutará la base de datos en espera.
    • Tipo de recurso peer de Data Guard: seleccione el cluster de VM.
    • Cluster de VM: seleccione el cluster de VM en el que se ejecutará la base de datos en espera. Si la base de datos en espera se ejecutará en un cluster de VM en un compartimento diferente, seleccione el compartimento correspondiente. Por defecto, se selecciona el mismo compartimento que la base de datos primaria.
    • Tipo de Data Guard: seleccione Data Guard o Active Data Guard. Puede que Active Data Guard necesite una licencia adicional.
    • Modo de protección: seleccione Rendimiento máximo o Disponibilidad máxima.
    • Transporte: síncrono o asíncrono según la selección del modo de protección. Si el modo de protección es rendimiento máximo, el transporte es asíncrono. Si el modo de protección es Máxima disponibilidad, el transporte es Síncrono.
    • Directorio Raíz de Base de Datos: seleccione un directorio raíz de base de datos existente o cree uno nuevo. Asegúrese de que el directorio raíz de base de datos ejecuta la misma versión de software de base de datos Oracle y los mismos parches que el primario.
    • Nombre único de la base de datos: (opcional) proporcione un nombre único de la base de datos para la base de datos en espera peer. Si no se proporciona ningún nombre único de base de datos, por defecto, la interfaz de OCI configurará automáticamente un nombre único de base de datos para la base de datos en espera.
    • Contraseña: proporcione la contraseña sys para la base de datos primaria. La contraseña sys y la contraseña de cartera de TDE deben ser las mismas al utilizar claves gestionadas por Oracle.
    • Contraseña de TDE: introduzca la contraseña del TDE para la base de datos principal. La contraseña de sys y TDE puede ser la misma cuando se utilizan claves gestionadas por Oracle.
  9. Haga clic en Agregar Base de datos en espera.
Una vez finalizada la solicitud de trabajo, se crea una nueva base de datos en el cluster de VM en espera y se crea un grupo o asociación de Data Guard entre las dos bases de datos. La nueva base de datos se configura como base de datos en espera.

Configurar Oracle Data Guard entre regiones

En estos pasos se describe cómo activar Oracle Data Guard para bases de datos de Oracle Exadata Database Service on Dedicated Infrastructure en diferentes regiones.

  1. En su arrendamiento de OCI, seleccione la región en la que está configurada la base de datos primaria.
  2. Cree una conexión de intercambio de tráfico remoto para la VCN en la que se haya configurado la base de datos primaria:
    1. Seleccione Red y, a continuación, seleccione Redes virtuales en el cloud.
    2. Seleccione Conectividad de cliente.
    3. Seleccione Gateway de direccionamiento dinámico. Seleccione un gateway de direccionamiento dinámico (DRG) existente o cree un nuevo gateway de direccionamiento dinámico si aún no existe uno.
    4. En el menú Dynamic Routing Gateway, seleccione Asociaciones de redes virtuales en la nube. Cree una asociación de redes virtuales en la nube si aún no existe una.
    5. En el menú Gateway de direccionamiento dinámico, seleccione Asociaciones de conexión de intercambio de tráfico remoto y, a continuación, haga clic en Crear conexión de intercambio de tráfico remoto. Introduzca un nombre para la conexión de intercambio de tráfico remoto y haga clic en Crear conexión de intercambio de tráfico remoto.
      Esto crea una asociación de conexión de intercambio de tráfico remoto en estado de intercambio de tráfico nuevo (no con intercambio de tráfico). La asociación de conexión de intercambio de tráfico remoto incluye el enrutamiento necesario desde la VCN de la base de datos primaria hasta el DRG.
  3. Cree una ruta desde la VCN de la base de datos primaria a la VCN de la base de datos en espera:
    1. En el menú de OCI, seleccione Red y, a continuación, seleccione Redes privadas virtuales. Seleccione la VCN para la región de la base de datos primaria.
    2. En el menú VCN, seleccione Tablas de rutas y, a continuación, seleccione la tabla de rutas para la subred privada.
    3. Agregue una ruta a la VCN en la que se configurará la base de datos en espera.
      Por ejemplo, si la base de datos en espera se configurará en una VCN donde la dirección IP sea 10.1.0.0/16, agregue una ruta para el destino 10.1.0.0/16 mediante el DRG.
  4. Agregue una regla de seguridad de entrada a la lista de seguridad de red privada para permitir conexiones al puerto 1521 desde la red donde se configura la base de datos en espera (mediante el ejemplo anterior, red 10.1.0.0/16).
  5. Seleccione la región en la que se ejecutará la base de datos en espera.
  6. Cree una conexión de intercambio de tráfico remoto para la VCN en la que se configurará la base de datos en espera:
    1. En el menú de OCI, seleccione Red y, a continuación, seleccione Redes virtuales en la nube.
    2. Seleccione Conectividad de cliente.
    3. Seleccione Gateway de enrutamiento dinámico y, a continuación, seleccione un DRG existente. Cree uno si aún no existe uno y seleccione el nuevo DRG.
    4. En el menú Gateway de direccionamiento dinámico, seleccione Asociaciones de redes virtuales en la nube. Cree una asociación de VCN si aún no existe.
    5. En el menú Dynamic Routing Gateway, seleccione Asociaciones de conexión de intercambio de tráfico remoto y, a continuación, haga clic en Crear conexión de intercambio de tráfico remoto. Introduzca un nombre para la conexión de intercambio de tráfico remoto y haga clic en Crear conexión de intercambio de tráfico remoto.
      Se crea una nueva asociación de conexión de intercambio de tráfico remoto en estado de intercambio de tráfico nuevo (sin intercambio de tráfico). La asociación de conexión de intercambio de tráfico remoto incluirá el enrutamiento necesario desde la VCN de la base de datos en espera hasta el DRG. Tome nota del OCID de conexión de intercambio de tráfico remoto, que se utilizará durante el paso de intercambio de tráfico.
  7. Cree una ruta desde la VCN de la base de datos en espera hasta la VCN de la base de datos primaria:
    1. En el menú de OCI, haga clic en Red y, a continuación, en Redes privadas virtuales. Seleccione la VCN para la región en la que se configurará la base de datos en espera.
    2. En el menú Redes virtuales en la nube, haga clic en Tablas de rutas y, a continuación, seleccione la tabla de rutas para la subred privada.
    3. Agregue una ruta a la VCN en la que esté configurada la base de datos primaria.
      Por ejemplo, si la base de datos primaria se está ejecutando en una VCN donde la dirección IP es 10.0.0.0/16, agregue una ruta para el destino 10.0.0.0/16 mediante el DRG.
  8. Agregue una regla de seguridad de entrada a la lista de seguridad de red privada para permitir conexiones al puerto 1521 desde la VCN donde se configura la base de datos primaria (mediante el ejemplo anterior, desde la red 10.0.0.0/16).
  9. En la región de la base de datos primaria, vaya al menú OCI y seleccione Red. Haga clic en Redes virtuales en la nube y, a continuación, seleccione la VCN para la red en la que se está ejecutando la base de datos principal.
  10. Haga clic en asociaciones de conexiones a intercambio de tránsito remotas.
    La conexión de intercambio de tráfico remoto creada en el paso 2.e se mostrará en el estado de intercambio de tráfico Nuevo (no con intercambio de tráfico).
  11. Haga clic en el nombre de la conexión de intercambio de tráfico remoto.
    Se muestran los detalles de la conexión de intercambio de tráfico remoto.
  12. En la página de detalles de la sección de intercambio de tráfico remoto, haga clic en Establecer conexión.
    Se abrirá una nueva ventana.
  13. Seleccione la región en la que se ejecutará la base de datos en espera y el OCID de la conexión peer remota en espera (OCID del paso 6.e.)
    Si el intercambio de tráfico se realiza correctamente, el estado del intercambio de tráfico cambiará de Nuevo, a Pendiente, a Con intercambio de tráfico.
    La comunicación de red entre las redes virtuales en la nube de las dos regiones ya está establecida y Data Guard entre regiones se puede configurar.
  14. En el menú de OCI, haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
  15. Seleccione el compartimento en el que está configurado el cluster de VM de la base de datos primaria.
  16. Seleccione el cluster de VM que incluye la base de datos que se va a configurar con Oracle Data Guard.
  17. Haga clic en su nombre para seleccionar la base de Datos.
  18. En Recursos, haga clic en Asociaciones a Data Guard.
  19. Haga clic en Agregar Base de datos en espera. Se abrirá una ventana Agregar en espera; la versión de la base de datos determina las opciones que se muestran. Las bases de datos 11g y 12c soportan asociaciones de Data Guard, mientras que las versiones 19c y posteriores soportan grupos de Data Guard. Seleccione si desea configurar una asociación de Data Guard o un grupo de Data Guard.
  20. Configure las opciones de Data Guard:
    • Región: seleccione la región en la que se ejecutará la base de datos en espera. Se debe proporcionar una región diferente porque se trata de una configuración de Oracle Data Guard entre regiones.
    • Dominio de disponibilidad: seleccione el dominio de disponibilidad donde se despliega el Oracle Exadata Database Service on Dedicated Infrastructure en espera.
    • Infraestructura de Exadata: seleccione la infraestructura de Exadata en la que se ejecutará la base de datos en espera.
    • Cluster de VM: seleccione el cluster de VM en el que se ejecutará la base de datos en espera. Si la base de datos en espera se ejecutará en un cluster de VM en un compartimento diferente, seleccione el compartimento correspondiente. Por defecto, se selecciona el mismo compartimento que la base de datos primaria.
    • Tipo de Data Guard: seleccione Data Guard o Active Data Guard. Active Data Guard puede necesitar una licencia adicional.
    • Protection Mode (Modo de protección): seleccione Max Performance (Rendimiento máximo). Esta es la única opción soportada para Data Guard entre regiones.
    • Transporte: seleccione Asíncrono. Esta es la única opción soportada para Data Guard entre regiones.
    • Directorio Raíz de Base de Datos: seleccione un directorio raíz de base de datos existente o cree uno nuevo. Asegúrese de que el directorio raíz de base de datos ejecuta la misma versión de software de base de datos Oracle y los mismos parches que el primario.
    • Nombre único de la base de datos: (opcional) introduzca un nombre único de la base de datos para la base de datos en espera peer. Si no se introduce ningún nombre único de base de datos, por defecto la interfaz de OCI configurará automáticamente un nombre único de base de datos para la base de datos en espera.
    • Contraseña: proporcione la contraseña sys para la base de datos primaria. La contraseña sys y la contraseña de cartera de TDE deben ser las mismas al utilizar claves gestionadas por Oracle.
    • Contraseña de TDE: introduzca la contraseña del TDE para la base de datos principal. La contraseña de sys y TDE puede ser la misma cuando se utilizan claves gestionadas por Oracle.
  21. Haga clic en Agregar Base de datos en espera.
Una vez finalizada la solicitud de trabajo, se crea una nueva base de datos en el cluster de VM en espera y se crea un grupo o asociación de Data Guard entre las dos bases de datos. La nueva base de datos se configura como base de datos en espera.