Configuration d'Oracle Data Guard pour Oracle Exadata Database Service on Dedicated Infrastructure

Data Guard pour Oracle Exadata Database Service on Dedicated Infrastructure prend en charge les clés gérées par Oracle et les clés gérées par le client pour le cryptage transparent des données. Les clés gérées par Oracle utilisent des portefeuilles basés sur des mots de passe pour stocker et gérer les clés TDE, tandis que les clés gérées par le client vous permettent de stocker et de gérer les clés TDE dans OCI Vault. Par défaut, Oracle Exadata Database Service on Dedicated Infrastructure utilise des clés gérées par Oracle.

Vérification des stratégies de sécurité et des groupes dynamiques

Si votre base de données utilise OCI Vault pour stocker les clés gérées par le client, vous devez suivre les étapes ci-dessous pour vérifier que toutes les stratégies de sécurité et tous les groupes dynamiques requis sont correctement configurés. Vous pouvez ignorer cette section si votre base de données utilise des clés gérées par Oracle.

  1. Dans la console OCI, accédez au menu principal et cliquez sur Identité et sécurité.
  2. Cliquez sur Groupes dynamiques.
    Dans les locations plus récentes, cliquez sur Domaines, puis sur Groupes dynamiques.
  3. Vérifiez qu'un groupe dynamique est configuré avec une règle similaire à la suivante :
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. Accédez à Identité, sécurité, puis cliquez sur Stratégies.
    Vérifiez qu'une stratégie de sécurité existe avec les règles suivantes :
    Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

Vérifier la réplication OCI Vault

Si vous configurez Oracle Data Guard entre deux régions et que votre base de données utilise des clés gérées par le client, un coffre privé virtuel doit être répliqué entre les deux régions. Vous pouvez ignorer cette section si votre base de données utilise des clés gérées par Oracle. Ces étapes décrivent comment vérifier que votre coffre privé virtuel est répliqué dans les deux régions.

  1. Accédez au menu OCI et cliquez sur Identité et sécurité.
  2. Cliquez sur Coffre.
  3. Dans la liste des coffres disponibles, vérifiez que la colonne Virtual Private est définie sur yes pour que le coffre soit utilisé pour les bases de données de l'association Data Guard.
    Si un coffre n'existe pas encore, cliquez sur Créer un coffre et indiquez le nom du coffre. Sélectionnez l'option Définir comme coffre privé virtuel, puis cliquez sur Créer un coffre.
  4. Vérifiez que le coffre privé virtuel est répliqué vers la région dans laquelle la base de données de secours sera créée :
    1. Accédez au menu OCI et sélectionnez Identité et sécurité.
    2. Cliquez sur Coffre.
    3. Sélectionnez le coffre à utiliser pour les bases de données de l'association Data Guard.
      Si la réplication Vault est activée pour ce coffre, la page du coffre affiche le rôle de réplication et les détails de réplication. Si aucune information de réplication n'est affichée, le coffre n'est pas répliqué.
  5. Pour répliquer le coffre vers une autre région, cliquez sur Répliquer le coffre. Sélectionnez la région dans laquelle la base de données de secours sera configurée, puis cliquez sur Créer une réplique.
    Le coffre est répliqué vers l'autre région et sera disponible pour créer des associations Data Guard au bout de quelques minutes.
  6. Vérifiez que les clés existantes des bases de données existantes ont été répliquées du coffre source vers le coffre de répliques.
  7. Sur le coffre source, créez des clés pour les nouvelles bases de données et vérifiez qu'elles sont répliquées vers le coffre de répliques.

Configuration d'Oracle Data Guard dans la région

Ces étapes décrivent comment activer Oracle Data Guard pour les bases de données Oracle Exadata Database Service on Dedicated Infrastructure dans la même région.

  1. Accédez au menu OCI et cliquez sur Oracle Database.
  2. Cliquez sur Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Sélectionnez le compartiment dans lequel le cluster de machines virtuelles Oracle Exadata Database Service on Dedicated Infrastructure est configuré.
  4. Sélectionnez le cluster de machines virtuelles dans lequel se trouve la base de données à configurer avec Oracle Data Guard.
  5. Cliquez sur le nom de la base de données pour la sélectionner.
  6. Sous Ressources, cliquez sur Associations Data Guard.
  7. Cliquez sur Ajouter une base de données d'attente. Une fenêtre Ajouter une base de données de secours s'ouvre. La version de la base de données détermine les options affichées. Les bases de données 11g et 12c prennent en charge les associations Data Guard, tandis que les versions 19c et ultérieures prennent en charge les groupes Data Guard. Indiquez si vous souhaitez configurer une association Data Guard ou un groupe Data Guard.
  8. Configurez les options Data Guard :
    • Région homologue : la région de la base de données sélectionnée est affichée par défaut. Utilisez cette région pour la configuration Oracle Data Guard.
    • Domaine de disponibilité : le domaine de disponibilité de la base de données sélectionnée est affiché par défaut. Utilisez ce domaine de disponibilité si la base de données de secours doit être configurée sur le même domaine de disponibilité que la base de données principale. Sinon, sélectionnez un autre domaine de disponibilité.
    • Infrastructure Exadata : sélectionnez l'infrastructure Exadata sur laquelle la base de données de secours sera exécutée.
    • Type de ressource d'homologue Data Guard : sélectionnez le cluster de machines virtuelles.
    • Cluster de machines virtuelles : sélectionnez le cluster de machines virtuelles sur lequel la base de données de secours sera exécutée. Si la base de données de secours est exécutée sur un cluster de machines virtuelles sur un autre compartiment, sélectionnez le compartiment correspondant. Par défaut, le même compartiment que la base de données principale est sélectionné.
    • Type Data Guard : sélectionnez Data Guard ou Active Data Guard. Active Data Guard peut nécessiter une licence supplémentaire.
    • Mode de protection : sélectionnez Performances maximales ou Disponibilité maximale.
    • Transport : synchrone ou asynchrone selon la sélection du mode de protection. Si le mode de protection est Performances maximales, le transport est asynchrone. Si le mode de protection est Disponibilité maximale, le transport est synchrone.
    • Répertoire de base de la base de données : sélectionnez un répertoire de base de base de données existant ou créez-en un. Assurez-vous que le répertoire de base de base de données exécute la même version du logiciel de base de données Oracle et applique les mêmes patches que le répertoire principal.
    • Nom de base de données unique : (facultatif) indiquez un nom de base de données unique pour la base de données de secours homologue. Si aucun nom unique de base de données n'est fourni, par défaut, l'interface OCI configure automatiquement un nom unique de base de données pour la base de données de secours.
    • Mot de passe : indiquez le mot de passe sys pour la base de données principale. Le mot de passe sys et le mot de passe de portefeuille TDE doivent être identiques lors de l'utilisation de clés gérées par Oracle.
    • Mot de passe TDE : entrez le mot de passe TDE de la base de données principale. Les mots de passe sys et TDE peuvent être identiques lors de l'utilisation de clés gérées par Oracle.
  9. Cliquez sur Ajout d'une base de données de secours.
Une fois la demande de travail terminée, une base de données est créée dans le cluster de machines virtuelles de secours et un groupe ou une association Data Guard est créé entre les deux bases de données. La nouvelle base de données est configurée en tant que base de secours.

Configuration d'Oracle Data Guard inter-région

Ces étapes décrivent comment activer Oracle Data Guard pour les bases de données Oracle Exadata Database Service on Dedicated Infrastructure dans différentes régions.

  1. Dans votre location OCI, sélectionnez la région dans laquelle la base de données principale est configurée.
  2. Créez une connexion d'appairage à distance pour le VCN où la base de données principale est configurée :
    1. Sélectionnez Fonctions de réseau, puis Réseaux cloud virtuels.
    2. Sélectionnez Connectivité client.
    3. Sélectionnez Passerelle de routage dynamique. Sélectionnez une passerelle de routage dynamique (DRG) existante ou créez une passerelle de routage dynamique si elle n'existe pas déjà.
    4. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de réseaux cloud virtuels. Créez un attachement de réseaux cloud virtuels s'il n'en existe pas déjà un.
    5. Dans le menu Passerelle de routage dynamique, sélectionnez Pièces jointes de connexion d'appairage à distance, puis cliquez sur Créer une connexion d'appairage à distance. Entrez le nom de la connexion d'appairage à distance, puis cliquez sur Créer une connexion d'appairage à distance.
      Cela crée un attachement de connexion d'appairage à distance avec le statut d'appairage Nouveau (non appairé). L'attachement de connexion d'appairage à distance inclut le routage requis du VCN de la base de données principale vers le DRG.
  3. Créez un routage du VCN de la base de données principale vers le VCN de la base de données de secours :
    1. Dans le menu OCI, sélectionnez Réseaux, puis Réseaux privés virtuels. Sélectionnez le VCN pour la région de la base de données principale.
    2. Dans le menu VCN, sélectionnez Tables de routage, puis la table de routage du sous-réseau privé.
    3. Ajoutez une route vers le VCN où la base de données de secours sera configurée.
      Par exemple, si la base de données de secours est configurée dans un VCN où l'adresse IP est 10.1.0.0/16, ajoutez une route pour la destination 10.1.0.0/16 à l'aide du DRG.
  4. Ajoutez une règle de sécurité entrante à la liste de sécurité du réseau privé pour autoriser les connexions au port 1521 à partir du réseau sur lequel la base de données de secours est configurée (à l'aide de l'exemple ci-dessus, le réseau 10.1.0.0/16).
  5. Sélectionnez la région dans laquelle la base de données de secours sera exécutée.
  6. Créez une connexion d'appairage à distance pour le VCN où la base de données de secours sera configurée :
    1. Dans le menu OCI, sélectionnez Réseaux, puis Réseaux cloud virtuels.
    2. Sélectionnez Connectivité client.
    3. Sélectionnez Passerelle de routage dynamique, puis sélectionnez un DRG existant. Créez-en un s'il n'en existe pas déjà un, puis sélectionnez le nouveau DRG.
    4. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de réseaux cloud virtuels. Créez un document joint VCN s'il n'en existe pas déjà un.
    5. Dans le menu Passerelle de routage dynamique, sélectionnez Attachements de connexion d'appairage à distance, puis cliquez sur Créer une connexion d'appairage à distance. Entrez le nom de la connexion d'appairage à distance, puis cliquez sur Créer une connexion d'appairage à distance.
      Un nouvel attachement de connexion d'appairage à distance au statut d'appairage (non appairé) est créé. L'attachement de connexion d'appairage à distance inclut le routage requis du VCN de la base de données de secours vers le DRG. Notez l'OCID de connexion d'appairage à distance, qui sera utilisé lors de l'étape d'appairage.
  7. Créez un routage du VCN de la base de données de secours vers le VCN de la base de données principale :
    1. Dans le menu OCI, cliquez sur Réseaux, puis sur Réseaux privés virtuels. Sélectionnez le VCN de la région dans laquelle la base de données de secours sera configurée.
    2. Dans le menu Réseaux cloud virtuels, cliquez sur Tables de routage, puis sélectionnez la table de routage du sous-réseau privé.
    3. Ajoutez une route vers le VCN où la base de données principale est configurée.
      Par exemple, si la base de données principale est exécutée sur un VCN où l'adresse IP est 10.0.0.0/16, ajoutez un routage pour la destination 10.0.0.0/16 à l'aide du DRG.
  8. Ajoutez une règle de sécurité entrante à la liste de sécurité du réseau privé pour autoriser les connexions au port 1521 à partir du VCN où la base de données principale est configurée (à l'aide de l'exemple ci-dessus, à partir du réseau 10.0.0.0/16).
  9. Dans la région de la base de données principale, accédez au menu OCI et sélectionnez Fonctions de réseau. Cliquez sur Réseaux cloud virtuels, puis sélectionnez le VCN du réseau sur lequel la base de données principale est exécutée.
  10. Cliquez sur Attachements des connexions d'appairage à distance.
    La connexion d'appairage à distance créée à l'étape 2.e s'affiche avec le statut d'appairage Nouveau (non appairé).
  11. Cliquez sur le nom de la connexion d'appairage à distance.
    Les détails de la connexion d'appairage à distance s'affichent.
  12. Sur la page de détails de la connexion d'appairage à distance, cliquez sur Etablir une connexion.
    Une nouvelle fenêtre s'ouvre.
  13. Sélectionnez la région dans laquelle la base de données de secours sera exécutée et l'OCID de la connexion homologue distante de secours (OCID de l'étape 6.e.)
    Si l'appairage réussit, le statut de l'appairage passe de Nouveau, à En attente, à Appairé.
    La communication réseau entre les réseaux cloud virtuels des deux régions est désormais établie et Data Guard inter-région peut être configuré.
  14. Dans le menu OCI, cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  15. Sélectionnez le compartiment dans lequel le cluster de machines virtuelles de base de données principale est configuré.
  16. Sélectionnez le cluster de machines virtuelles qui inclut la base de données à configurer avec Oracle Data Guard.
  17. Cliquez sur le nom de la base de données pour la sélectionner.
  18. Sous Ressources, cliquez sur Associations Data Guard.
  19. Cliquez sur Ajouter une base de données d'attente. Une fenêtre Ajouter une base de données de secours s'ouvre. La version de la base de données détermine les options affichées. Les bases de données 11g et 12c prennent en charge les associations Data Guard, tandis que les versions 19c et ultérieures prennent en charge les groupes Data Guard. Indiquez si vous souhaitez configurer une association Data Guard ou un groupe Data Guard.
  20. Configurez les options Data Guard :
    • Région : sélectionnez la région dans laquelle la base de données de secours sera exécutée. Une autre région doit être indiquée car il s'agit d'une configuration Oracle Data Guard inter-région.
    • Domaine de disponibilité : sélectionnez le domaine de disponibilité dans lequel le service Oracle Exadata Database Service on Dedicated Infrastructure de secours est déployé.
    • Infrastructure Exadata : sélectionnez l'infrastructure Exadata sur laquelle la base de données de secours sera exécutée.
    • Cluster de machines virtuelles : sélectionnez le cluster de machines virtuelles sur lequel la base de données de secours sera exécutée. Si la base de données de secours est exécutée sur un cluster de machines virtuelles sur un autre compartiment, sélectionnez le compartiment correspondant. Par défaut, le même compartiment que la base de données principale est sélectionné.
    • Type Data Guard : sélectionnez Data Guard ou Active Data Guard. Active Data Guard peut nécessiter une licence supplémentaire.
    • Mode de protection : sélectionnez Performances maximales. Il s'agit de la seule option prise en charge pour Data Guard dans plusieurs régions.
    • Transport : sélectionnez Asynchrone. Il s'agit de la seule option prise en charge pour Data Guard inter-région.
    • Répertoire de base de la base de données : sélectionnez un répertoire de base de base de données existant ou créez-en un. Assurez-vous que le répertoire de base de base de données exécute la même version du logiciel de base de données Oracle et applique les mêmes patches que le répertoire principal.
    • Nom de base de données unique : (facultatif) entrez un nom de base de données unique pour la base de données de secours homologue. Si aucun nom unique de base de données n'est saisi, par défaut, l'interface OCI configure automatiquement un nom unique de base de données pour la base de données de secours.
    • Mot de passe : indiquez le mot de passe sys pour la base de données principale. Le mot de passe sys et le mot de passe de portefeuille TDE doivent être identiques lors de l'utilisation de clés gérées par Oracle.
    • Mot de passe TDE : entrez le mot de passe TDE de la base de données principale. Les mots de passe sys et TDE peuvent être identiques lors de l'utilisation de clés gérées par Oracle.
  21. Cliquez sur Ajout d'une base de données de secours.
Une fois la demande de travail terminée, une base de données est créée dans le cluster de machines virtuelles de secours et un groupe ou une association Data Guard est créé entre les deux bases de données. La nouvelle base de données est configurée en tant que base de secours.