Configure Oracle Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure

Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure supports Oracle-managed keys and customer-managed keys for Transparent Data Encryption (TDE). Les clés gérées par Oracle utilisent des portefeuilles basés sur un mot de passe pour stocker et gérer les clés TDE, tandis que les clés gérées par le client vous permettent de stocker et de gérer les clés TDE dans le service de chambre forte OCI. By default, Oracle Exadata Database Service on Dedicated Infrastructure uses Oracle-managed keys.

Vérifier les stratégies de sécurité et les groupes dynamiques

Si votre base de données utilise le service Chambre forte OCI pour stocker les clés gérées par le client, vous devez suivre les étapes ci-dessous pour vérifier que toutes les politiques de sécurité requises et que les groupes dynamiques sont correctement configurés. Vous pouvez ignorer cette section si votre base de données utilise des clés gérées par Oracle.

  1. Dans la console OCI, naviguez jusqu'au menu principal et cliquez sur Identité et sécurité.
  2. Cliquez sur Groupes dynamiques.
    Pour les locations plus récentes, cliquez sur Domaines, puis sur Groupes dynamiques.
  3. Vérifiez qu'un groupe dynamique est configuré avec une règle similaire à la suivante :
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. Naviguez jusqu'à Identité et sécurité, puis cliquez sur Politiques.
    Vérifiez qu'une politique de sécurité existe avec les règles suivantes :
    Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

Vérifier la réplication du service de chambre forte OCI

Si vous configurez Oracle Data Guard entre deux régions et que votre base de données utilise des clés gérées par le client, une chambre forte privée virtuelle doit être répliquée entre les deux régions. Vous pouvez ignorer cette section si votre base de données utilise des clés gérées par Oracle. Ces étapes décrivent comment vérifier que votre chambre forte privée virtuelle est répliquée dans les deux régions.

  1. Naviguez jusqu'au menu OCI et cliquez sur Identité et sécurité.
  2. Cliquez sur Chambre forte.
  3. Dans la liste des chambres fortes disponibles, vérifiez que la colonne Virtual Private (Privé virtuel) est réglée à yes (Oui) pour que la chambre forte soit utilisée pour les bases de données de l'association Data Guard.
    Si aucune chambre forte n'existe encore, cliquez sur Créer une chambre forte et indiquez un nom pour la chambre forte. Sélectionnez l'option En faire une chambre forte privée virtuelle, puis cliquez sur Créer une chambre forte.
  4. Vérifiez que la chambre forte privée virtuelle est répliquée dans la région où la base de données de secours sera créée :
    1. Naviguez jusqu'au menu OCI et sélectionnez Identité et sécurité.
    2. Cliquez sur Chambre forte.
    3. Sélectionnez la chambre forte à utiliser pour les bases de données de l'association Data Guard.
      Si la réplication de chambre forte est activée pour cette chambre forte, la page de chambre forte affiche le rôle de réplication et les détails de la réplication. Si aucune information de réplication n'est affichée, la chambre forte n'est pas répliquée.
  5. Pour répliquer la chambre forte vers une autre région, cliquez sur Répliquer la chambre forte. Sélectionnez la région dans laquelle la base de données de secours sera configurée, puis cliquez sur Créer une réplique.
    La chambre forte est répliquée dans l'autre région et sera disponible pour créer des associations Data Guard au bout de quelques minutes.
  6. Vérifiez que les clés existantes des bases de données existantes ont été répliquées de la chambre forte source vers la chambre forte de réplique.
  7. Dans la chambre forte source, créez de nouvelles clés pour les nouvelles bases de données et vérifiez qu'elles sont répliquées vers la chambre forte de réplique.

Configurer Oracle Data Guard dans la région

These steps describe how to enable Oracle Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure databases in the same region.

  1. Naviguez jusqu'au menu OCI et cliquez sur Oracle Database.
  2. Click Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Select the compartment where the Oracle Exadata Database Service on Dedicated Infrastructure VM cluster is configured.
  4. Sélectionnez la grappe de machines virtuelles où se trouve la base de données à configurer avec Oracle Data Guard.
  5. Cliquez sur le nom de la base de données pour la sélectionner.
  6. Sous Ressources, cliquez sur Associations Data Guard.
  7. Cliquez sur Ajouter une base de données de secours. Une fenêtre Add standby s'ouvre, la version de la base de données détermine les options affichées. Les bases de données version 11g et 12c prennent en charge les associations Data Guard, tandis que les versions 19c et plus récentes prennent en charge les groupes Data Guard. Indiquez s'il faut configurer une association Data Guard ou un groupe Data Guard.
  8. Configurez les options Data Guard :
    • Région d'appairage : La région de la base de données sélectionnée est affichée par défaut. Utilisez cette région pour la configuration d'Oracle Data Guard.
    • Domaine de disponibilité : Le domaine de disponibilité de la base de données sélectionnée est affiché par défaut. Utilisez ce domaine de disponibilité si la base de données de secours doit être configurée sur le même domaine de disponibilité que la base de données principale. Sinon, sélectionnez un autre domaine de disponibilité.
    • Infrastructure Exadata : Sélectionnez l'infrastructure Exadata où la base de données de secours sera exécutée.
    • Type de ressource Data Guard Peer : Sélectionnez une grappe de machines virtuelles.
    • Grappe de MV : Sélectionnez la grappe de MV dans laquelle la base de données de secours sera exécutée. Si la base de données de secours s'exécute sur une grappe de machines virtuelles dans un autre compartiment, sélectionnez le compartiment correspondant. Par défaut, le même compartiment que la base de données principale est sélectionné.
    • Type Data Guard : Sélectionnez Data Guard ou Active Data Guard. Active Data Guard peut exiger une licence supplémentaire.
    • Mode de protection : Sélectionnez Performance maximale ou Disponibilité maximale.
    • Transport : Synchrone ou asynchrone selon la sélection du mode de protection. Si le mode de protection est Max Performance, le transport est asynchrone. Si le mode de protection est Disponibilité maximale, le transport est synchrone.
    • Répertoire de base de la base de données : Sélectionnez un répertoire existant ou créez-en un. Assurez-vous que le répertoire de base de données exécute la même version du logiciel de base de données Oracle et les mêmes correctifs que le répertoire principal.
    • Nom unique de la base de données : (Facultatif) Fournissez un nom unique de base de données pour la base de données de secours pair. Si aucun nom unique de base de données n'est indiqué, par défaut, l'interface OCI configure automatiquement un nom unique de base de données pour la base de secours.
    • Mot de passe : Entrez le mot de passe sys pour la base de données principale. Le mot de passe sys et le mot de passe du portefeuille TDE doivent être identiques lors de l'utilisation de clés gérées par Oracle.
    • Mot de passe TDE : Entrez le mot de passe TDE de la base de données principale. Le mot de passe sys et TDE peuvent être identiques lors de l'utilisation des clés gérées par Oracle.
  9. Cliquez sur Ajouter une base de données de secours.
Une fois la demande de travail terminée, une nouvelle base de données est créée dans la grappe de machines virtuelles de secours et un groupe ou une association Data Guard est créé entre les deux bases de données. La nouvelle base de données est configurée en tant que base de secours.

Configurer Oracle Data Guard inter-région

These steps describe how to enable Oracle Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure databases in different regions.

  1. Dans votre location OCI, sélectionnez la région dans laquelle la base de données principale est configurée.
  2. Créez une connexion d'appairage distant pour le VCN où la base de données principale est configurée :
    1. Sélectionnez Service de réseau, puis Réseaux en nuage virtuels
    2. Sélectionnez Connectivité client.
    3. Sélectionnez Passerelle de routage dynamique. Sélectionnez une passerelle de routage dynamique existante ou créez-en une si elle n'existe pas déjà.
    4. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de réseau en nuage virtuel. Créez un attachement de réseau en nuage virtuel s'il n'existe pas déjà.
    5. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de connexion d'appairage distant, puis cliquez sur Créer une connexion d'appairage distant. Entrez un nom pour la connexion d'appairage distant, puis cliquez sur Créer une connexion d'appairage distant.
      Cela crée un attachement de connexion d'appairage distant dont le statut d'appairage est Nouveau (non appairé). L'attachement de connexion d'appairage distant comprend le routage requis entre le VCN de la base de données principale et la passerelle DRG.
  3. Créez une route du VCN de la base de données principale vers le VCN de la base de données de secours :
    1. Dans le menu OCI, sélectionnez Réseau, puis Réseaux privés virtuels. Sélectionnez le réseau VCN pour la région de la base de données principale.
    2. Dans le menu VCN, sélectionnez Tables de routage, puis sélectionnez la table de routage pour le sous-réseau privé.
    3. Ajoutez une route au VCN où la base de données de secours sera configurée.
      Par exemple, si la base de données de secours est configurée dans un VCN où l'adresse IP est 10.1.0.0/16, ajoutez une route pour la destination 10.1.0.0/16 à l'aide de la passerelle DRG.
  4. Ajoutez une règle de sécurité de trafic entrant à la liste de sécurité du réseau privé pour autoriser les connexions au port 1521 à partir du réseau sur lequel la base de données de secours est configurée (à l'aide de l'exemple ci-dessus, le réseau 10.1.0.0/16).
  5. Sélectionnez la région dans laquelle la base de données de secours sera exécutée.
  6. Créez une connexion d'appairage distant pour le VCN où la base de données de secours sera configurée :
    1. Dans le menu OCI, sélectionnez Réseau, puis Réseaux en nuage virtuels.
    2. Sélectionnez Connectivité client.
    3. Sélectionnez Passerelle de routage dynamique, puis sélectionnez une passerelle DRG existante. Créez-en un s'il n'existe pas encore, puis sélectionnez la nouvelle passerelle DRG.
    4. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de réseaux en nuage virtuels. Créez un attachement de VCN s'il n'en existe pas déjà.
    5. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de connexion d'appairage distant, puis cliquez sur Créer une connexion d'appairage distant. Entrez un nom pour la connexion d'appairage distant, puis cliquez sur Créer une connexion d'appairage distant.
      Un nouvel attachement de connexion d'appairage distant dont le statut d'appairage est Nouveau (non appairé) est créé. L'attachement de connexion d'appairage distant inclura le routage requis entre le VCN de la base de données de secours et la passerelle DRG. Prenez note de l'OCID de la connexion d'appairage distant, qui sera utilisé lors de l'étape d'appairage.
  7. Créez une route du VCN de la base de données de secours vers le VCN de la base de données principale :
    1. Dans le menu OCI, cliquez sur Réseau, puis sur Réseaux privés virtuels. Sélectionnez le VCN de la région dans laquelle la base de données de secours sera configurée.
    2. Dans le menu Réseaux en nuage virtuels, cliquez sur Tables de routage, puis sélectionnez la table de routage pour le sous-réseau privé.
    3. Ajoutez une route au VCN où la base de données principale est configurée.
      Par exemple, si la base de données principale s'exécute sur un VCN où l'adresse IP est 10.0.0.0/16, ajoutez une route pour la destination 10.0.0.0/16 à l'aide de la passerelle DRG.
  8. Ajoutez une règle de sécurité de trafic entrant à la liste de sécurité du réseau privé pour autoriser les connexions au port 1521 à partir du VCN où la base de données principale est configurée (à l'aide de l'exemple ci-dessus, à partir du réseau 10.0.0.0/16).
  9. Dans la région de la base de données principale, naviguez jusqu'au menu OCI et sélectionnez Réseau. Cliquez sur Réseaux en nuage virtuels, puis sélectionnez le VCN du réseau sur lequel la base de données principale s'exécute.
  10. Cliquez sur Attachements de connexion d'appairage distant.
    La connexion d'appairage distant créée à l'étape 2.e s'affiche avec le statut d'appairage Nouveau (non appairé).
  11. Cliquez sur le nom de la connexion d'appairage distant.
    Les détails de la connexion d'appairage distant sont affichés.
  12. Dans la page des détails de la connexion d'appairage distant, cliquez sur Établir la connexion.
    Une nouvelle fenêtre s'ouvrira.
  13. Sélectionnez la région où la base de données de secours sera exécutée et l'OCID de la connexion d'appairage distant de secours (OCID à l'étape 6.e.)
    Si l'appairage réussit, le statut d'appairage passe de Nouveau, à En attente, à Appairé.
    La communication réseau entre les réseaux en nuage virtuels des deux régions est maintenant établie et Data Guard inter-région peut être configuré.
  14. Dans le menu OCI, cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  15. Sélectionnez le compartiment dans lequel la grappe de machines virtuelles de base de données principale est configurée.
  16. Sélectionnez la grappe de machines virtuelles qui inclut la base de données à configurer avec Oracle Data Guard.
  17. Cliquez sur le nom de la base de données pour la sélectionner.
  18. Sous Ressources, cliquez sur Associations Data Guard.
  19. Cliquez sur Ajouter une base de données de secours. Une fenêtre Add standby s'ouvre, la version de la base de données détermine les options affichées. Les bases de données version 11g et 12c prennent en charge les associations Data Guard, tandis que les versions 19c et plus récentes prennent en charge les groupes Data Guard. Indiquez s'il faut configurer une association Data Guard ou un groupe Data Guard.
  20. Configurez les options Data Guard :
    • Région : Sélectionnez la région dans laquelle la base de données de secours sera exécutée. Une autre région doit être indiquée, car il s'agit d'une configuration Oracle Data Guard inter-région.
    • Availability Domain: Select the availability domain where the standby Oracle Exadata Database Service on Dedicated Infrastructure is deployed.
    • Infrastructure Exadata : Sélectionnez l'infrastructure Exadata où la base de données de secours sera exécutée.
    • Grappe de MV : Sélectionnez la grappe de MV dans laquelle la base de données de secours sera exécutée. Si la base de données de secours s'exécute sur une grappe de machines virtuelles dans un autre compartiment, sélectionnez le compartiment correspondant. Par défaut, le même compartiment que la base de données principale est sélectionné.
    • Type Data Guard : Sélectionnez Data Guard ou Active Data Guard. Active Data Guard peut nécessiter une licence supplémentaire.
    • Mode de protection : Sélectionnez Performance maximale. Il s'agit de la seule option prise en charge pour Data Guard inter-région.
    • Transport : Sélectionnez asynchrone. Il s'agit de la seule option prise en charge pour Data Guard inter-région.
    • Répertoire de base de la base de données : Sélectionnez un répertoire existant ou créez-en un. Assurez-vous que le répertoire de base de données exécute la même version du logiciel de base de données Oracle et les mêmes correctifs que le répertoire principal.
    • Nom unique de la base de données : (Facultatif) Entrez un nom unique de base de données pour la base de données de secours pair. Si aucun nom unique de base de données n'est entré, l'interface OCI configurera automatiquement un nom unique de base de données pour la base de secours.
    • Mot de passe : Entrez le mot de passe sys pour la base de données principale. Le mot de passe sys et le mot de passe du portefeuille TDE doivent être identiques lors de l'utilisation des clés gérées par Oracle.
    • Mot de passe TDE : Entrez le mot de passe TDE de la base de données principale. Le mot de passe sys et TDE peuvent être identiques lors de l'utilisation des clés gérées par Oracle.
  21. Cliquez sur Ajouter une base de données de secours.
Une fois la demande de travail terminée, une nouvelle base de données est créée dans la grappe de machines virtuelles de secours et un groupe ou une association Data Guard est créé entre les deux bases de données. La nouvelle base de données est configurée en tant que base de secours.