2 Intégration d'Oracle Database à Recovery Service

Utilisez des listes de contrôle pour vérifier les exigences obligatoires et prévoyez d'intégrer Oracle Database à Recovery Service.

• Liste de contrôle des exigences obligatoires pour Recovery Service
  Utilisez cette liste de contrôle pour vérifier les prérequis obligatoires pour l'intégration d'Oracle Database à Recovery Service.
• Liste de contrôle de configuration facultative pour Recovery Service
  Vous pouvez choisir de configurer ces options supplémentaires pour Recovery Service.
• Limites de ressource de service de récupération
  Une limite de service est l'allocation ou le quota défini sur une ressource. Autonomous Recovery Service a des limites maximales pour le nombre de bases de données protégées et l'utilisation de l'espace de stockage de sauvegarde. Les limitations s'appliquent à chaque région.
• Droits d'accès facultatifs pour les bases de données Oracle dans OCI
  Par défaut, les bases de données Oracle dans OCI disposent des droits d'accès permettant d'accéder à Recovery Service. Le service peut également accéder aux ressources réseau au sein du VCN de base de données. Vous pouvez choisir d'affecter les droits d'accès supplémentaires et facultatifs pour les bases de données OCI, comme décrit dans cette rubrique.
• Droits d'accès requis pour que les bases de données Oracle Multicloud utilisent Recovery Service
  Affectez des stratégies IAM Recovery Service qui permettent à Oracle Multicloud Database d'envoyer des sauvegardes à Recovery Service.
• Configuration de ressources réseau pour Recovery Service
  Créez ou utilisez un sous-réseau IPv4 uniquement existant pour les opérations Recovery Service dans le VCN de base de données. Définissez des règles de sécurité pour contrôler le trafic de sauvegarde entre votre base de données et Recovery Service.
• Inscription du sous-réseau Recovery Service
  Cette procédure permet d'inscrire un sous-réseau Recovery Service.
• Méthodes de gestion des ressources Recovery Service
  Dans Oracle Cloud Infrastructure (OCI), vous pouvez créer et gérer des ressources Recovery Service à l'aide de diverses interfaces fournies pour répondre à vos différents cas d'utilisation de gestion.

Liste de contrôle des exigences obligatoires pour Recovery Service

Utilisez cette liste de contrôle pour vérifier les prérequis obligatoires pour intégrer Oracle Database à Recovery Service.

Remarques :

Les sauvegardes opérationnelles vers deux destinations de sauvegarde différentes peuvent créer des scénarios de perte de données. Par conséquent, avant d'activer les sauvegardes automatiques vers Recovery Service, vous devez désactiver les scripts et processus de sauvegarde manuelle vers d'autres destinations de stockage.

Tableau 2-1 Exigences obligatoires pour l'intégration de votre base de données à Recovery Service

Cocher	Tâche
Ports utilisés par Recovery Service	Vous devez ouvrir ces ports réseau et configurer les règles de sécurité pour Recovery Service. Port 2484 : active les connexions SQL*Net au catalogue RMAN utilisé par Recovery Service. Port 8005 : active le trafic de sauvegarde de la base de données vers Recovery Service.
Règles de sécurité pour Recovery Service	Utilisez des listes de sécurité ou des groupes de sécurité réseau pour configurer les règles de sécurité. Règles de sécurité pour les bases de données Oracle déployées dans OCI Pour les bases de données OCI, Oracle recommande d'utiliser des listes de sécurité pour implémenter les règles de sécurité pour le sous-réseau Recovery Service dans le VCN de base de données. Pour Oracle Exadata Database Service on Dedicated Infrastructure, le sous-réseau de sauvegarde est utilisé en tant que sous-réseau de service de récupération par défaut. Pour Oracle Base Database Service, le sous-réseau de base de données est utilisé comme sous-réseau de service de récupération par défaut. Pour plus d'informations, reportez-vous à Taille de sous-réseau et règles de sécurité pour le sous-réseau de service de récupération. Règles de sécurité pour les bases de données Oracle Multicloud Pour les bases de données Oracle Multicloud, vous devez utiliser des groupes de sécurité réseau pour définir les règles de sécurité et associer les groupes de sécurité réseau (cinq au maximum) lors de l'enregistrement du sous-réseau Recovery Service.
Plate-forme prise en charge	Linux x86-64
Niveau de compatibilité de la base de données cible	19.0.0 ou version ultérieure Assurez-vous que le niveau de compatibilité de la base de données cible (paramètre d'initialisation COMPATIBLE) est défini sur 19.0.0 ou une version ultérieure.
Versions Oracle Database prises en charge	Bases de données Oracle Cloud et bases de données Oracle Multicloud Vous pouvez définir Autonomous Recovery Service en tant que destination de sauvegarde pour les bases de données Oracle Cloud et les bases de données Oracle Multicloud provisionnées avec l'une des versions suivantes : Oracle AI Database 26ai version 23.4 ou ultérieure Oracle Database 21c version 21.7 ou ultérieure Pour utiliser la fonctionnalité de protection des données en temps réel, votre base de données doit être provisionnée avec Oracle Database 21c version 21.8 ou ultérieure. Mise à jour 19.16 ou ultérieure d'Oracle Database 19c Pour utiliser la fonctionnalité de protection des données en temps réel, votre base de données doit être provisionnée avec la version 19.18 ou ultérieure d'Oracle Database 19c. Bases de données Oracle sur site Vous pouvez ajouter des bases de données Oracle sur site provisionnées avec l'une de ces versions à Recovery Service. Oracle AI Database 26ai version 23.4 ou ultérieure Mise à jour 19.18 ou ultérieure d'Oracle Database 19c Pour plus de détails, reportez-vous à Ajout d'une base de données sur site à Recovery Service à l'aide de Cloud Protect. Oracle Database Versions qui prennent en charge Recovery Service sur Government Cloud Oracle Database publie des versions prenant en charge Recovery Service dans Oracle US Government Cloud Oracle Database prend en charge Recovery Service dans Oracle US Defense Cloud Oracle Database Versions prenant en charge Recovery Service dans United Kingdom Government Cloud
Limites de ressources Recovery Service	Assurez-vous que les limites de ressources Recovery Service sont adéquates et demandez une augmentation des limites de service, si nécessaire. Pour les bases de données Oracle Multicloud, vous devez vérifier et ajuster les limites propres à votre abonnement multicloud à partir de la page Limites, quotas et utilisation de la console OCI. Attention : Si vous ne sélectionnez pas l'abonnement multicloud, les limites augmentées seront appliquées aux ressources OCI. Pour plus d'informations, reportez-vous à Limites de ressource Recovery Service.
Stratégies IAM Recovery Service	Bases de données Oracle dans OCI Par défaut, les bases de données Oracle déployées dans OCI sont déjà affectées avec les droits d'accès permettant d'accéder à Recovery Service pour les sauvegardes. Vous pouvez affecter les stratégies facultatives, telles que la stratégie tag namespace, ou la stratégie qui limite l'accès à des utilisateurs ou des groupes spécifiques pour gérer les ressources Recovery Service. Reportez-vous à Droits d'accès facultatifs pour les bases de données Oracle dans OCI Bases de données Oracle Multicloud Vous devez affecter les droits d'accès requis pour que les services de base de données Oracle Multicloud utilisent Recovery Service pour les sauvegardes. Droits d'accès pour Oracle Database@Azure Droits d'accès pour Oracle Database@Google Cloud Droits d'accès pour Oracle Database@AWS Remarques : Pour une location OCI existante, vous devez affecter les droits d'accès requis pour qu'Oracle Database@AWS utilise Recovery Service. Pour une nouvelle location OCI, les mêmes droits d'accès sont affectés par défaut. Pour plus d'informations, reportez-vous à Droits d'accès requis pour que les bases de données Oracle Multicloud utilisent Recovery Service.
Cryptage de base de données	Si vous sauvegardez Oracle Database sur site vers Recovery Service, le portefeuille TDE doit être configuré et ouvert, que TDE soit configuré ou non pour la base de données. Si les bases de données pluggables (PDB) utilisent des portefeuilles TDE locaux, ces derniers doivent être ouverts. Cela est nécessaire pour crypter les sauvegardes vers Recovery Service. Pour plus d'informations, reportez-vous aux sections suivantes du Guide de cryptage transparent des données : Présentation du cryptage transparent des données Gestion du fichier de clés et de la clé de cryptage maître Attention : Oracle recommande vivement d'utiliser un système de gestion de clés externe, tel qu'Oracle Key Vault. Le stockage des clés de décryptage sur le même serveur que les données cryptées permet aux attaques de serveur de base de données d'accéder potentiellement aux clés et à la base de données. Les sauvegardes cryptées ne peuvent pas être récupérées si les clés sont compromises ou volées. Pour connaître les étapes détaillées d'ajout de bases de données sur site à Recovery Service, reportez-vous à Protection des bases de données sur site à l'aide d'Oracle Database Zero Data Loss Cloud Protect.
Résolution DNS	Si vous ajoutez une base de données Oracle Database sur site au service de récupération, un processus d'écoute DNS est requis pour accepter les demandes DNS du réseau sur site. Le processus d'écoute DNS est utilisé pour résoudre les adresses IP de sauvegarde du service de récupération. Le nom de domaine qualifié complet doit être inscrit auprès du sous-réseau Recovery Service. Pour connaître les étapes détaillées d'ajout de bases de données sur site à Recovery Service, reportez-vous à Protection des bases de données sur site à l'aide d'Oracle Database Zero Data Loss Cloud Protect.
Sous-réseau Recovery Service pour les bases de données Oracle dans OCI	Pour les bases de données OCI, telles qu'Oracle Exadata Database Service on Dedicated Infrastructure et Oracle Base Database Service, Recovery Service inscrit automatiquement le sous-réseau Recovery Service lorsque vous activez les sauvegardes automatiques. Pour Oracle Exadata Database Service on Dedicated Infrastructure, Recovery Service inscrit automatiquement le sous-réseau de sauvegarde en tant que sous-réseau de service de récupération par défaut. Pour Oracle Base Database Service, Recovery Service inscrit automatiquement le sous-réseau de base de données en tant que sous-réseau Recovery Service par défaut. Choisissez l'une des options suivantes : Utilisez le sous-réseau Recovery Service par défaut qui est déjà inscrit par le service (recommandé). Pour plus d'informations, reportez-vous à Obtention des détails d'une base de données protégée sur le sous-réseau Recovery Service. (Facultatif) Créez votre propre sous-réseau Recovery Service dans le VCN de base de données. Recovery Service nécessite un sous-réseau IPv4 uniquement dans le même réseau cloud virtuel (VCN) où réside votre base de données. Tout d'abord, créez votre propre sous-réseau Recovery Service dans le VCN de base de données, puis affectez les règles de sécurité au sous-réseau Recovery Service que vous créez. Enfin, enregistrez le sous-réseau Recovery Service. Si vous avez utilisé des groupes de sécurité réseau pour définir les règles de sécurité, vous devez ajouter les groupes de sécurité réseau au sous-réseau Recovery Service (cinq au maximum).
Sous-réseau Recovery Service pour les bases de données Oracle Multicloud	Pour une base de données Oracle Multicloud, veillez à inscrire le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service en associant des groupes de sécurité réseau. La taille de sous-réseau recommandée est /24. Recovery Service prend en charge les services Oracle Multicloud Database suivants : Oracle Database@Azure Oracle Database@Google Cloud Oracle Database@AWS Remarques : Les ports réseau 2484 et 8005 permettent la connectivité réseau entre Oracle Database@AWS et Recovery Service. Dans une location OCI existante, veillez à ouvrir les ports réseau 2484 et 8005. Dans une nouvelle location OCI, les mêmes ports réseau sont ouverts par défaut pour Oracle Database@AWS. Lorsque vous intégrez une ressource Oracle Database@AWS à Recovery Service, le service inscrit automatiquement le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service. Vous pouvez utiliser le sous-réseau de service de récupération par défaut inscrit automatiquement par le service ou enregistrer votre propre sous-réseau de service de récupération.
Bibliothèque SBT pour les bases de données Oracle sur site	L'agent Cloud Protect Fleet requiert le fichier de bibliothèque SBT libra.so pour effectuer des opérations de sauvegarde et de récupération de base de données avec Recovery Service. Pour Oracle Database 19.27 ou versions ultérieures et Oracle AI Database 26ai Release Update 23.8 ou versions ultérieures, la bibliothèque SBT libra.so est disponible dans le répertoire $ORACLE_HOME/lib après l'installation de la base de données. Pour Oracle Database 19.26 et les versions antérieures, veillez à télécharger le fichier de bibliothèque SBT libra.so à partir du My Oracle Support Patch Number 37855779. Pour plus de détails, reportez-vous à Protection des bases de données sur site à l'aide d'Oracle Database Zero Data Loss Cloud Protect.

Liste de contrôle de configuration facultative pour Recovery Service

Vous pouvez choisir de configurer ces options supplémentaires pour Recovery Service.

Tableau 2-2 Liste de contrôle de configuration facultative pour Recovery Service

Cocher	En savoir plus
Options de stratégie de protection	Politique de protection personnalisée En plus d'utiliser des stratégies de protection définies par Oracle, vous pouvez également créer une stratégie de protection personnalisée et définir la période de conservation requise (entre 14 et 95 jours). Choisir l'emplacement de stockage de sauvegarde Par défaut, Recovery Service crée des bases de données protégées et des sauvegardes associées dans Oracle Cloud. Vous pouvez éventuellement remplacer ce comportement par défaut pour vos bases de données Oracle Multicloud, telles qu'Oracle Database@Azure, Oracle Database@Google Cloud et Oracle Database@AWS. Si vous activez l'option Stocker les sauvegardes dans le même fournisseur cloud que la base de données pour une stratégie de protection personnalisée, la base de données et les sauvegardes protégées liées à une stratégie sont stockées dans le même fournisseur cloud que celui où Oracle Database est provisionné. Pour plus d'informations, reportez-vous à Prise en charge des sauvegardes Oracle Database multicloud. Activer le verrouillage de la conservation Le verrouillage de la conservation est une fonctionnalité facultative permettant de protéger les sauvegardes de base de données protégées. Pour plus d'informations, reportez-vous à Utilisation du verrouillage de conservation pour protéger les sauvegardes.
Utilisateurs et groupes IAM pour gérer les ressources Recovery Service	En tant qu'administrateur de location, vous pouvez créer des utilisateurs et des groupes IAM pour gérer les tâches liées à Recovery Service. Vous pouvez ensuite affecter des instructions de stratégie Recovery Service aux groupes. Par exemple, créez un groupe nommé recoveryserviceadmin, puis affectez la stratégie qui permet au groupe recoveryserviceadmin de gérer les bases de données protégées, les stratégies de protection et les sous-réseaux Recovery Service. Création d'un groupe Création d'un utilisateur Pour ajouter un utilisateur à un groupe

Limites de ressource Recovery Service

Une limite de service est l'allocation ou le quota défini sur une ressource. Autonomous Recovery Service a des limites maximales pour le nombre de bases de données protégées et l'utilisation de l'espace de stockage de sauvegarde. Les limitations s'appliquent à chaque région.

Tableau 2-3 Limites des ressources Autonomous Recovery Service

Ressource	Crédits universels Oracle	Paiement à l'utilisation ou version d'évaluation Pay As You Go
Nombre de bases de données protégées Autonomous Recovery Service	Nous contacter	Nous contacter
Espace Autonomous Recovery Service utilisé pour la fenêtre de récupération (Go)	Nous contacter	Nous contacter

Utilisez la console pour consulter les limites de service et les informations d'utilisation actuelles, et demander une augmentation des limites de ressources, si nécessaire.

1. Dans le menu de navigation, sélectionnez Gouvernance et administration, puis Gestion des locations.
2. Sélectionnez Limites, quotas et utilisation.
3. Sélectionnez Autonomous Recovery Service dans la liste Service.
   Vérifiez les limites actuelles et les informations d'utilisation.
4. Demandez une augmentation de limite des ressources de service, si nécessaire. Pour les bases de données Oracle Multicloud, vérifiez et ajustez les limites propres à votre abonnement multicloud à partir de la page Limites, quotas et utilisation.

   Attention :

   Si vous ne sélectionnez pas l'abonnement multicloud, les limites augmentées seront appliquées aux ressources OCI.
5. (Facultatif) Vous pouvez également contrôler l'utilisation des ressources dans les compartiments. Pour plus d'informations, reportez-vous à Démarrage rapide de la stratégie de quota.

Droits d'accès facultatifs pour les bases de données Oracle dans OCI

Par défaut, les bases de données Oracle dans OCI disposent des droits d'accès permettant d'accéder à Recovery Service. Le service peut également accéder aux ressources réseau au sein du VCN de base de données. Vous pouvez choisir d'affecter les droits d'accès supplémentaires et facultatifs pour les bases de données OCI, comme décrit dans cette rubrique.

Remarques :

Recovery Service inclut des modèles de stratégie IAM distincts pour Oracle Database@Azure, Oracle Database@Google Cloud et Oracle Database@AWS.

Si vous configurez Recovery Service pour votre base de données Oracle Multicloud, ignorez cette section et passez à Droits d'accès requis pour que les bases de données Oracle Multicloud utilisent Recovery Service.

Pour affecter des droits d'accès facultatifs aux bases de données OCI, procédez comme suit :

1. Dans le générateur de stratégies, sélectionnez Autonomous Recovery Service en tant que cas d'utilisation de stratégie.
2. Sélectionnez les modèles de stratégie ou ajoutez les instructions de stratégie à l'aide de l'éditeur manuel dans le générateur de stratégies. (reportez-vous au tableau 2-4, au tableau 2-5 et au tableau 2-6)

Tableau 2-4 Droits d'accès supplémentaires pour la possibilité de tout faire avec le modèle de stratégie Autonomous Recovery Service

Instruction de stratégie	Créer dans	Description
Allow service database to manage tagnamespace in tenancy	Compartiment racine	Permet au service OCI Database d'accéder à l'espace de noms de balise dans une location. Si vous affectez ces droits d'accès, une base de données protégée peut hériter des balises de la base source.
Allow group admin to manage recovery-service-family in tenancy	Compartiment racine	Permet aux utilisateurs d'un groupe spécifié d'accéder à toutes les ressources Recovery Service. Les utilisateurs appartenant au groupe indiqué peuvent gérer les bases de données protégées, les stratégies de protection et les sous-réseaux Recovery Service.

Tableau 2-5 Autoriser les utilisateurs a gérer des stratégies de protection dans Autonomous Recovery Service

Instruction de stratégie	Créer dans	Description
Allow group {group name} to manage recovery-service-policy in compartment {location}	Compartiment propriétaire des stratégies de protection.	Permet à tous les utilisateurs d'un groupe spécifié de créer, mettre à jour et supprimer des stratégies de protection dans Recovery Service.

Prenez l'exemple suivant.

Cette stratégie accorde au groupe RecoveryServiceUser les droits d'accès permettant de créer, de mettre à jour et de supprimer des stratégies de protection dans le compartiment ABC.

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

Modèle de stratégie Autoriser les utilisateurs à gérer des sous-réseaux Autonomous Recovery Service

Tableau 2-6 Autoriser les utilisateurs à gérer des sous-réseaux Autonomous Recovery Service

Instruction de stratégie	Créer dans	Description
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	Compartiment propriétaire des sous-réseaux Recovery Service.	Permet à tous les utilisateurs d'un groupe donné de créer, mettre à jour et supprimer des sous-réseaux Recovery Service.

Prenez l'exemple suivant.

Cette stratégie accorde au groupe RecoveryServiceAdmin les droits d'accès permettant de gérer les sous-réseaux Recovery Service dans le compartiment ABC.

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Droits d'accès requis pour que les bases de données Oracle Multicloud utilisent Recovery Service

Affectez des stratégies IAM Recovery Service qui permettent à la base de données Oracle Multicloud d'envoyer des sauvegardes à Recovery Service.

Dans le générateur de stratégies, sélectionnez Autonomous Recovery Service en tant que cas d'utilisation de stratégie, puis affectez l'une de ces stratégies pertinentes pour votre base de données Oracle Multicloud.

Tableau 2-7 Stratégies de service de récupération pour les bases de données Oracle Multicloud

Service Oracle Multicloud	Modèle et instructions de stratégie de service de récupération
Oracle Database@Azure	Autoriser Oracle Database@Azure à utiliser Autonomous Recovery Service pour la sauvegarde Allow service database to manage tagnamespace in tenancy Allow group admin to manage recovery-service-family in tenancy Allow service database to use organizations-assigned-subscription in tenancy where target.subscription.serviceName = 'ORACLEDBATAZURE' ORACLEDBATAZURE indique le nom de service pour Oracle Database@Azure.
Oracle Database@Google Cloud	Autoriser Oracle Database@Google Cloud à utiliser Autonomous Recovery Service pour la sauvegarde Allow service database to manage tagnamespace in tenancy Allow group admin to manage recovery-service-family in tenancy Allow service database to use organizations-assigned-subscription in tenancy where target.subscription.serviceName = 'ORACLEDBATGOOGLE' ORACLEDBATGOOGLE indique le nom de service pour Oracle Database@Google Cloud.
Oracle Database@AWS	Pour une location OCI existante, utilisez l'éditeur manuel du générateur de stratégies pour ajouter les instructions de stratégie requises pour qu'Oracle Database@AWS effectue une sauvegarde vers Recovery Service. Pour une nouvelle location OCI, ces droits d'accès sont affectés par défaut. Allow service database to manage tagnamespace in tenancy Allow group admin to manage recovery-service-family in tenancy Allow service database to use organizations-assigned-subscription in tenancy where target.subscription.serviceName = 'ORACLEDBATAWS' ORACLEDBATAWS indique le nom de service pour Oracle Database@AWS.

Configuration des ressources réseau pour Recovery Service

Créez ou utilisez un sous-réseau IPv4 uniquement existant pour les opérations Recovery Service dans le VCN de base de données. Définissez des règles de sécurité pour contrôler le trafic de sauvegarde entre votre base de données et Recovery Service.

Remarques :

Pour les bases de données Oracle Multicloud, veillez à inscrire le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service. La taille de sous-réseau recommandée est /24.

Recovery Service prend en charge les services Oracle Multicloud Database suivants :

• Oracle Database@Azure
• Oracle Database@Google Cloud
• Oracle Database@AWS

  Les ports réseau 2484 et 8005 permettent la connectivité réseau entre Oracle Database@AWS et Recovery Service. Dans une location OCI existante, veillez à ouvrir les ports réseau 2484 et 8005. Dans une nouvelle location OCI, les mêmes ports réseau sont ouverts par défaut pour Oracle Database@AWS.

  Lorsque vous intégrez une ressource Oracle Database@AWS à Recovery Service, le service inscrit automatiquement le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service. Vous pouvez utiliser le sous-réseau de service de récupération par défaut inscrit automatiquement par le service ou enregistrer votre propre sous-réseau de service de récupération.

• A propos de l'utilisation d'un sous-réseau privé pour les opérations de service de récupération
  Recovery Service requiert un sous-réseau privé dans le même réseau cloud virtuel (VCN) que celui où réside votre base de données. Le sous-réseau privé doit inclure des règles de sécurité pour contrôler le réseau de sauvegarde entre votre base de données et Recovery Service.
• Vérification des autorisations Networking Service pour configurer un sous-réseau
  Assurez-vous que vous disposez des autorisations Networking Service requises pour créer un sous-réseau dans le VCN de base de données et affecter des règles de sécurité pour Recovery Service.
• Taille de sous-réseau et règles de sécurité pour le sous-réseau Recovery Service
  Les règles de sécurité sont nécessaires pour autoriser le trafic de sauvegarde entre une base de données et Recovery Service.
• Création d'un sous-réseau de service de récupération dans le VCN de base de données
  Utilisez la console OCI pour configurer un sous-réseau privé pour Recovery Service dans votre réseau cloud virtuel de base de données (VCN).

A propos de l'utilisation d'un sous-réseau Privé pour Recovery Service Operations

Recovery Service nécessite un sous-réseau privé dans le même réseau cloud virtuel (VCN) où réside votre base de données. Le sous-réseau privé doit inclure des règles de sécurité pour contrôler le réseau de sauvegarde entre votre base de données et Recovery Service.

Recommandations pour les sous-réseaux de service de récupération dans la base de données VCN

• Votre VCN de base de données doit disposer d'un seul sous-réseau privé pour les sauvegardes vers Recovery Service. Le sous-réseau privé doit résider dans le même VCN où réside la base de données.
• Sélectionnez un sous-réseau IPv4 uniquement pour Recovery Service dans votre VCN de base de données. Ne sélectionnez pas de sous-réseau compatible avec IPv6 car Recovery Service ne prend pas en charge l'utilisation d'un sous-réseau compatible avec IPv6. Pour plus d'informations, reportez-vous à Création d'un sous-réseau.
• La taille de sous-réseau recommandée est /24 (256 adresses IP).

  Recovery Service affecte dynamiquement le nombre requis d'adresses IP libres pour prendre en charge les adresses privées. Si le nombre d'adresses IP libres est limité, utilisez une taille de sous-réseau /27 minimale qui autorise 32 adresses IP.

  Vous pouvez créer un sous-réseau privé ou sélectionner tout sous-réseau préexistant (de la taille recommandée) disponible dans le VCN de base de données.

  Par défaut, pour Oracle Exadata Database Service on Dedicated Infrastructure, le sous-réseau de sauvegarde est utilisé pour les opérations Recovery Service. Pour Oracle Base Database Service, le sous-réseau de base de données est également utilisé pour la sauvegarde vers Recovery Service.

• Lorsque vous activez les sauvegardes automatiques vers Autonomous Recovery Service, le service inscrit automatiquement le sous-réseau privé en tant que sous-réseau Recovery Service. Vous pouvez utiliser le sous-réseau de service de récupération inscrit automatiquement ou inscrire votre propre sous-réseau de service de récupération.

  Si vous avez défini des règles de sécurité à l'aide de groupes de sécurité réseau, vous devez inscrire un sous-réseau Recovery Service et associer les groupes de sécurité réseau (cinq au maximum) au sous-réseau Recovery Service.

  Pour les bases de données Oracle Multicloud, vous devez inscrire un sous-réseau Recovery Service en associant des groupes de sécurité réseau.

  Pour plus d'informations, reportez-vous à Inscription d'un sous-réseau Recovery Service.

• Si un sous-réseau Recovery Service contient un nombre insuffisant d'adresses IP disponibles, Recovery Service émet un message d'alerte lorsque vous tentez d'ajouter une nouvelle base de données. Dans ce scénario, vous pouvez ajouter des adresses IP en associant plusieurs sous-réseaux au sous-réseau Recovery Service.
• Votre base de données Oracle Cloud peut résider dans le même sous-réseau privé que celui utilisé par Recovery Service ou dans un autre sous-réseau au sein du même VCN.

Remarques :

Oracle recommande d'utiliser un sous-réseau privé pour les sauvegardes vers Recovery Service. Cependant, il est possible d'utiliser un sous-réseau public.

Implémentation de règles de sécurité pour le sous-réseau de service de récupération

Le VCN de base de données requiert des règles de sécurité pour autoriser le trafic de sauvegarde entre votre base de données et Recovery Service.

Les règles de sécurité du sous-réseau Recovery Service doivent inclure des règles entrantes avec conservation de statut pour autoriser les ports de destination 8005 et 2484.

Utilisez les fonctionnalités du service Networking suivantes pour implémenter des règles de sécurité :

• Listes de sécurité

  Une liste de sécurité vous permet d'ajouter des règles de sécurité au niveau du sous-réseau.

  Dans le VCN de votre base de données, sélectionnez la liste de sécurité utilisée pour le sous-réseau Recovery Service et ajoutez les règles entrantes pour autoriser les ports de destination 8005 et 2484.

• Groupes de sécurité réseau
  Les groupes de sécurité réseau (NSG) permettent un contrôle granulaire des règles de sécurité qui s'appliquent à des VNIC individuelles dans un VCN. Recovery Service prend en charge les options suivantes pour configurer les règles de sécurité à l'aide des groupes de sécurité réseau :

  • Créez un groupe de sécurité réseau pour la carte d'interface réseau virtuelle de base de données avec des règles sortantes pour autoriser les ports 2484 et 8005. Ajoutez un groupe de sécurité réseau distinct pour Recovery Service avec des règles entrantes pour autoriser les ports 2484 et 8005. Utilisez cette approche si vous souhaitez implémenter l'isolation du réseau.
  • Créez et utilisez un seul groupe de sécurité réseau (avec des règles sortantes et entrantes) pour la carte d'interface réseau virtuelle de base de données et Recovery Service.

Remarques :

• Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité ou si le VCN de la base de données restreint le trafic réseau entre les sous-réseaux, veillez à ajouter une règle sortante pour les ports 2484 et 8005 du groupe de sécurité réseau ou du sous-réseau de la base de données au groupe de sécurité réseau ou au sous-réseau du service de récupération que vous créez.
• Si vous avez créé des groupes de sécurité réseau pour implémenter des règles de sécurité, vous devez également vous assurer d'associer le groupe de sécurité réseau Recovery Service au sous-réseau Recovery Service. Pour plus d'informations, reportez-vous à Inscription du sous-réseau Recovery Service.
• Si vous avez configuré une liste de sécurité et un groupe de sécurité réseau dans votre VCN de base de données, les règles définies dans les groupes de sécurité réseau sont prioritaires sur les règles définies dans une liste de sécurité.

Pour en savoir plus, reportez-vous à Comparaison entre les listes de sécurité et les groupes de sécurité réseau.

Examen des droits d'accès du service Networking pour configurer un sous-réseau

Assurez-vous que vous disposez des autorisations Networking Service requises pour créer un sous-réseau dans le VCN de base de données et affecter des règles de sécurité pour Recovery Service.

Tableau 2-8 Droits d'accès du service Networking requis pour créer un sous-réseau privé et configurer des règles de sécurité pour le service de récupération

Opération

Stratégies IAM requises

Configurer un sous-réseau privé dans un VCN de base de données

use vcns pour le compartiment dans lequel se trouve le réseau cloud virtuel use subnets pour le compartiment dans lequel se trouve le réseau cloud virtuel manage private-ips pour le compartiment dans lequel se trouve le réseau cloud virtuel manage vnics pour le compartiment dans lequel se trouve le réseau cloud virtuel Gérer les noeuds virtuels pour le compartiment dans lequel la base de données est provisionnée ou doit être provisionnée

Vous pouvez également créer une stratégie qui autorise un groupe spécifique avec un accès plus large aux composants réseau.

Par exemple, utilisez cette stratégie pour autoriser un groupe NetworkAdmin à gérer tous les réseaux dans n'importe quel compartiment d'une location.

Exemple 2-1 Stratégie pour les administrateurs réseau

Allow group NetworkAdmin to manage virtual-network-family in tenancy

Règles de sécurité et de taille de sous-réseau pour le sous-réseau Recovery Service

Les règles de sécurité sont nécessaires pour autoriser le trafic de sauvegarde entre une base de données et Recovery Service.

Remarques :

• Sélectionnez un sous-réseau IPv4 uniquement pour Recovery Service dans votre VCN de base de données. Ne sélectionnez pas de sous-réseau compatible avec IPv6 car Recovery Service ne prend pas en charge l'utilisation d'un sous-réseau compatible avec IPv6. Pour plus d'informations, reportez-vous à Création d'un sous-réseau.
• Pour les bases de données Oracle Multicloud, vous devez configurer les règles de sécurité à l'aide de groupes de sécurité réseau (NSG). Les groupes de sécurité réseau contrôlent le trafic du sous-réseau Recovery Service et doivent inclure des règles entrantes avec conservation de statut pour autoriser les ports de destination 8005 et 2484.

Tableau 2-9 Règles de sécurité et de taille de sous-réseau pour le sous-réseau Recovery Service

Elément	Conditions requises
Taille de sous-réseau recommandée	/24 (256 Adresses IP) Si le nombre d'adresses IP libres est limité, utilisez une taille de sous-réseau /27 minimale qui autorise 32 adresses IP.
Règle entrante générale 1 : Autoriser le trafic HTTPS depuis n'importe où	Cette règle autorise le trafic de sauvegarde d'Oracle Cloud Infrastructure Database vers Recovery Service. Sans conservation de statut : : Non (toutes les règles doivent avoir la conservation de statut) Type de source : CIDR CIDR source : CIDR du VCN où réside la base de données Protocole IP : TCP Plage de ports source : tous Plage de ports de destination: 8005
Règle entrante générale 2 : Autorise le trafic SQLNet depuis n'importe où	Cette règle autorise les connexions au catalogue de récupération et la protection des données en temps réel entre Oracle Cloud Infrastructure Database et Recovery Service. Sans conservation de statut : : Non (toutes les règles doivent avoir la conservation de statut) Type de source : CIDR CIDR source : CIDR du VCN où réside la base de données Protocole IP : TCP Plage de ports source : tous Plage de ports de destination: 2484

Remarques :

Si vous utilisez des groupes de sécurité réseau pour implémenter des règles de sécurité ou si votre VCN de base de données restreint le trafic réseau entre les sous-réseaux, veillez à ajouter une règle sortante pour les ports 2484 et 8005 du groupe de sécurité réseau ou du sous-réseau de base de données au groupe de sécurité réseau ou au sous-réseau Recovery Service que vous créez.

Création d'un sous-réseau de service de récupération dans le VCN de base de données

Utilisez la console OCI pour configurer un sous-réseau privé pour Recovery Service dans votre réseau cloud virtuel de base de données (VCN).

Remarques :

Pour les bases de données Oracle Multicloud, veillez à inscrire le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service. La taille de sous-réseau recommandée est /24.

Recovery Service prend en charge les services Oracle Multicloud Database suivants :

• Oracle Database@Azure
• Oracle Database@Google Cloud
• Oracle Database@AWS

  Les ports réseau 2484 et 8005 permettent la connectivité réseau entre Oracle Database@AWS et Recovery Service. Dans une location OCI existante, veillez à ouvrir les ports réseau 2484 et 8005. Dans une nouvelle location OCI, les mêmes ports réseau sont ouverts par défaut pour Oracle Database@AWS.

  Lorsque vous intégrez une ressource Oracle Database@AWS à Recovery Service, le service inscrit automatiquement le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service. Vous pouvez utiliser le sous-réseau de service de récupération par défaut inscrit automatiquement par le service ou enregistrer votre propre sous-réseau de service de récupération.

1. Dans le menu de navigation, sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels pour afficher la page de liste Réseaux cloud virtuels.
2. Sélectionnez le VCN dans lequel réside votre base de données.
3. Suivez ces étapes pour créer un sous-réseau de service de récupération avec une liste de sécurité. Si vous souhaitez utiliser des groupes de sécurité réseau, passez à l'étape 4.
   1. Sur la page de détails du réseau cloud virtuel, sélectionnez l'onglet Sécurité.
   2. Sous Listes de sécurité, sélectionnez la liste de sécurité utilisée pour le VCN.
   3. Sur la page de détails de la liste de sécurité, sélectionnez l'onglet Règles de sécurité.
      Vous devez ajouter deux règles entrantes pour autoriser les ports de destination 8005 et 2484.
   4. Sélectionnez Ajouter des règles entrantes et ajoutez ces détails pour configurer une règle entrante avec conservation de statut qui autorise le trafic HTTPS à partir de n'importe quel endroit :
      • Type de source : CIDR
      • CIDR source : indiquez le CIDR du VCN dans lequel réside la base de données.
      • Protocole IP : TCP
      • Plage de ports source : Tous
      • Plage de ports de destination: 8005
      • Description : indiquez une description facultative de la règle entrante pour faciliter la gestion des règles de sécurité.
   5. Sélectionnez Règle entrante +Another et ajoutez les détails suivants pour configurer une règle entrante avec conservation de statut qui autorise le trafic SQLNet à partir de n'importe quel emplacement :
      • Type de source : CIDR
      • CIDR source : indiquez le CIDR du VCN dans lequel réside la base de données.
      • Protocole IP : TCP.
      • Plage de ports source : Tous
      • Plage de ports de destination: 2484.
      • Description : indiquez une description facultative de la règle entrante pour faciliter la gestion des règles de sécurité.

      Remarques :

      Sélectionnez un sous-réseau IPv4 uniquement pour Recovery Service dans votre VCN de base de données. Ne sélectionnez pas de sous-réseau compatible avec IPv6 car Recovery Service ne prend pas en charge l'utilisation d'un sous-réseau compatible avec IPv6. Pour plus d'informations, reportez-vous à Création d'un sous-réseau.
      Pour plus d'informations, reportez-vous à Taille de sous-réseau et règles de sécurité pour le sous-réseau de service de récupération.
   6. Sélectionnez Ajouter des règles entrantes.
   7. Sur la page de détails de la page réseau cloud virtuel, sélectionnez l'onglet Sous-réseaux, puis Créer un sous-réseau.
   8. Créez un sous-réseau privé ou sélectionnez un sous-réseau privé qui existe déjà dans le VCN de base de données. Oracle recommande une taille de sous-réseau de /24 (256 adresses IP) pour le sous-réseau privé.
   9. Sur la page de détails du sous-réseau, sélectionnez l'onglet Sécurité. Sous Listes de sécurité, ajoutez la liste de sécurité qui inclut les règles entrantes permettant d'autoriser les ports de destination 8005 et 2484.

      Remarques :

      Si le VCN de votre base de données restreint le trafic réseau entre les sous-réseaux, veillez à ajouter une règle sortante pour les ports 2484 et 8005 du sous-réseau de base de données au sous-réseau Recovery Service que vous créez.
4. Suivez ces étapes pour créer un sous-réseau Recovery Service avec des groupes de sécurité réseau.
   1. Sur la page de détails du réseau cloud virtuel, sélectionnez l'onglet Sécurité et accédez à la section Groupes de sécurité réseau.
   2. Sélectionnez Créer un groupe de sécurité réseau.
      Utilisez l'une des méthodes suivantes prises en charge pour configurer des règles de sécurité à l'aide de groupes de sécurité réseau :

      • Pour implémenter l'isolement réseau, créez un groupe de sécurité réseau pour la carte d'interface réseau virtuelle de base de données (ajoutez des règles sortantes pour autoriser les ports 2484 et 8005) et un groupe de sécurité réseau distinct pour Recovery Service (ajoutez des règles entrantes pour autoriser les ports 2484 et 8005).
      • Créez et utilisez un seul groupe de sécurité réseau (avec des règles sortantes et entrantes) pour la carte d'interface réseau virtuelle de base de données et Recovery Service.
      La page Groupe de sécurité réseau répertorie les groupes de sécurité réseau que vous créez.

   Remarques :

   Pour plus de détails sur la configuration, reportez-vous à la documentation OCI Database Service pertinente.

Remarques :

• Pour les bases de données OCI, Recovery Service inscrit automatiquement le sous-réseau Recovery Service par défaut.

  Vous pouvez utiliser le sous-réseau de service de récupération par défaut ou enregistrer votre propre sous-réseau de service de récupération.

• Si vous avez implémenté des règles de sécurité à l'aide de groupes de sécurité réseau ou si la base de données cible est une base de données Oracle Multicloud, vous devez inscrire le sous-réseau Recovery Service en ajoutant les groupes de sécurité réseau Recovery Service (cinq au maximum).
• Oracle vous recommande d'enregistrer un seul sous-réseau Recovery Service par VCN.

Inscription du sous-réseau Recovery Service

Suivez cette procédure pour enregistrer un sous-réseau Recovery Service.

Remarques :

Avant d'inscrire un sous-réseau Recovery Service, procédez comme suit :

• Veillez à ouvrir ces ports réseau et à configurer les règles de sécurité pour Recovery Service.
  • Port 2484 : active les connexions SQL*Net au catalogue RMAN utilisé par Recovery Service.
  • Port 8005 - Active le trafic de sauvegarde de la base de données vers Recovery Service.
• Assurez-vous d'avoir vérifié et confirmé les prérequis obligatoires décrits dans la liste de contrôle des exigences obligatoires pour Recovery Service.
• Veillez à sélectionner un sous-réseau IPv4 uniquement pour les opérations Recovery Service dans le VCN de votre base de données. Ne sélectionnez pas de sous-réseau compatible IPv6 car le service de récupération ne prend pas en charge l'utilisation d'un sous-réseau compatible IPv6.
• Pour les bases de données Oracle déployées dans OCI, si votre sous-réseau de sauvegarde respecte la taille de sous-réseau recommandée (au moins 12 adresses IP gratuites), Recovery Service inscrit automatiquement le sous-réseau Recovery Service. Pour remplacer le sous-réseau inscrit par le service de récupération, suivez les étapes décrites dans Ajout ou remplacement de sous-réseaux pour un sous-réseau de service de récupération.
• Pour les bases de données Oracle Multicloud, vous devez inscrire le sous-réseau de sauvegarde en tant que sous-réseau Recovery Service avec les groupes de sécurité réseau, comme décrit à l'étape 8. La taille de sous-réseau recommandée est /24.
  Recovery Service prend en charge les services Oracle Multicloud Database suivants :

  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS

    Les ports réseau 2484 et 8005 permettent la connectivité réseau entre Oracle Database@AWS et Recovery Service. Dans une location OCI existante, veillez à ouvrir les ports réseau 2484 et 8005. Dans une nouvelle location OCI, les mêmes ports réseau sont ouverts par défaut pour Oracle Database@AWS.

    Lorsque vous intégrez une ressource Oracle Database@AWS au service de récupération, le service inscrit automatiquement le sous-réseau de sauvegarde en tant que sous-réseau du service de récupération. Vous pouvez utiliser le sous-réseau de service de récupération par défaut déjà inscrit par le service ou suivre les étapes fournies dans cette section pour inscrire votre propre sous-réseau de service de récupération.

  Veillez à ajouter les groupes de sécurité réseau Recovery Service au sous-réseau Recovery Service.
• Plusieurs bases de données protégées peuvent utiliser le même sous-réseau Recovery Service. Afin de vous assurer que le nombre requis d'adresses IP est disponible pour prendre en charge les adresses privées Recovery Service, vous pouvez affecter plusieurs sous-réseaux à un sous-réseau Recovery Service utilisé par plusieurs bases de données protégées.

1. Sur la page de liste Sous-réseaux de service de récupération, sélectionnez Enregistrer le sous-réseau de service de récupération. Pour plus d'informations sur les étapes permettant d'accéder à la page de liste, reportez-vous à Liste des sous-réseaux de service de récupération.
2. Entrez le nom du sous-réseau Recovery Service. Evitez de saisir des informations confidentielles dans le champ Nom.
3. Vérifiez le compartiment dans lequel créer le sous-réseau de service de récupération. Utilisez le champ Créer dans le compartiment pour sélectionner un autre compartiment, si nécessaire.
4. Sélectionnez le compartiment qui contient le réseau cloud virtuel (VCN) à utiliser. Vous ne pouvez sélectionner un VCN que dans un seul compartiment à la fois
5. Sélectionnez le réseau cloud virtuel.
6. Sous Sous-réseaux, sélectionnez les options suivantes :
   1. Sélectionnez le compartiment qui contient le sous-réseau privé à utiliser.
   2. Sélectionnez le sous-réseau que vous avez configuré pour les opérations de service de récupération dans le VCN sélectionné.
7. (Facultatif) Sélectionnez Sous-réseau +Another pour affecter un sous-réseau supplémentaire au sous-réseau Recovery Service.
   Si un sous-réseau unique ne contient pas suffisamment d'adresses IP pour prendre en charge les adresses privées Recovery Service, vous pouvez affecter plusieurs sous-réseaux.
   Pour plus d'informations, reportez-vous à A propos de l'utilisation d'un sous-réseau privatif pour Recovery Service Operations.
8. Développez les options avancées pour configurer les options suivantes :
   • Groupes de sécurité réseau

     Si vous avez utilisé un groupe de sécurité réseau pour implémenter des règles de sécurité pour Recovery Service dans le VCN de base de données ou si la base de données cible est une base de données Oracle Multicloud, vous devez ajouter le groupe de sécurité réseau Recovery Service au sous-réseau Recovery Service. Le groupe de sécurité réseau Recovery Service peut résider dans le même compartiment ou dans un autre compartiment. Cependant, le groupe de sécurité réseau doit appartenir au même VCN auquel appartient le sous-réseau spécifié.

     1. Dans la section Groupes de sécurité du réseau, sélectionnez Utiliser les groupes de Sécurité du réseau pour contrôler le traffic.
     2. Sélectionnez le groupe de sécurité réseau Recovery Service que vous avez créé dans le VCN de base de données.
     3. Sélectionnez +Another network security group pour associer plusieurs groupes de sécurité réseau (cinq au maximum).

     Remarques :

     Pour les bases de données Oracle Multicloud, telles qu'Oracle Database@Azure, Oracle Database@Google Cloud et Oracle Database@AWS, vous devez inscrire le sous-réseau Recovery Service en associant des groupes de sécurité réseau.

   • Balises : (facultatif) ajoutez des balises à la ressource. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

9. Sélectionnez Inscrire.

   Remarques :

   Un sous-réseau Recovery Service doit être associé à au moins un sous-réseau appartenant au VCN de base de données.

Vous pouvez remplacer un sous-réseau ou ajouter d'autres sous-réseaux pour prendre en charge le nombre requis d'adresses privées. Pour plus de détails, reportez-vous à Ajout ou remplacement de sous-réseaux pour un sous-réseau de service de récupération.

Pour obtenir des étapes détaillées d'ajout de groupes de sécurité réseau à un sous-réseau de service de récupération, reportez-vous à Association de groupes de sécurité réseau à un sous-réseau de service de récupération existant.

Méthodes de gestion des ressources Recovery Service

Dans Oracle Cloud Infrastructure (OCI), vous pouvez créer et gérer des ressources Recovery Service à l'aide de diverses interfaces fournies pour répondre à vos différents cas d'utilisation de gestion.

Interface	En savoir plus
Console OCI	Utilisation de la console
API (interfaces de programmation d'applications)	API Oracle Database Autonomous Recovery Service
Interfaces de ligne de commande	Utilisation de l'interface de ligne de commande