Configura servizio di recupero

Questo articolo fornisce informazioni sulla configurazione di Oracle Database Autonomous Recovery Service per l'uso con Oracle Base Database Service.

Oracle Database Autonomous Recovery Service è una soluzione di backup cloud completamente gestita, standalone e centralizzata per i database Oracle Cloud Infrastructure (OCI).

Per ulteriori informazioni sul servizio di recupero, vedere Informazioni su Oracle Database Autonomous Recovery Service.

Lista di controllo della configurazione dei prerequisiti per il servizio di recupero

Questa lista di controllo descrive i task dei prerequisiti che è necessario completare prima di poter utilizzare il servizio di recupero come destinazione di backup per i database nella tenancy.

1. Assegna criteri per consentire l'accesso al servizio di recupero e alle risorse correlate
2. Analisi delle autorizzazioni del servizio di networking per configurare una subnet
3. Rivedi requisiti dimensione subnet e regole di sicurezza per la subnet del servizio di recupero
4. Creare una subnet del servizio di recupero nella VCN del database
5. Registra subnet servizio di recupero
6. Assicurarsi che la subnet del servizio di recupero possa comunicare con i servizi Oracle
7. Assicurarsi che la funzione TDE del database sia completamente configurata
8. Disattiva qualsiasi backup operativo manuale

Assegna criteri per consentire l'accesso al servizio di recupero e alle risorse correlate

Assegnare istruzioni dei criteri in modo che i servizi di database OCI supportati possano utilizzare il servizio di recupero per la protezione dei dati.

Nella console, utilizzare Policy Builder per assegnare rapidamente i criteri necessari per utilizzare il servizio di recupero nella tenancy. In Policy Builder, selezionare Autonomous Recovery Service come Caso d'uso dei criteri, quindi selezionare i modelli di criteri predefiniti riportati di seguito.

• Possibilità di eseguire tutte le operazioni con Autonomous Recovery Service
• Consenti agli utenti di gestire i criteri di protezione in Autonomous Recovery Service
• Consenti agli utenti di gestire le subnet di Autonomous Recovery Service

Possibilità di eseguire tutte le operazioni con Autonomous Recovery Service

Il modello di criteri Possibilità di eseguire tutte le operazioni con Autonomous Recovery Service include tutte le istruzioni dei criteri necessarie per fornire le autorizzazioni per i servizi di database supportati per l'uso del servizio di recupero e per il servizio di recupero per utilizzare le risorse di rete per accedere ai database in una VCN.

È possibile selezionare il modello di criteri o aggiungere queste istruzioni utilizzando l'editor manuale in Policy Builder.

Tabella - Istruzioni dei criteri necessarie per l'utilizzo del servizio di recupero

Istruzione criteri	Crea in	Scopo
Allow service database to manage recovery-service-family in tenancy	Compartimento radice	Consente al servizio di database OCI di accedere ai database protetti, ai criteri di protezione e alle subnet del servizio di recupero all'interno della tenancy.
Allow service database to manage tagnamespace in tenancy	Compartimento radice	Consente al servizio di database OCI di accedere allo spazio di nomi tag in una tenancy.
Allow service rcs to manage recovery-service-family in tenancy	Compartimento radice	Consente al servizio di recupero di accedere e gestire i database protetti, le subnet del servizio di recupero e i criteri di protezione all'interno della tenancy.
Allow service rcs to manage virtual-network-family in tenancy	Compartimento radice	Consente al servizio di recupero di accedere e gestire la subnet privata in ogni VCN del database all'interno della tenancy. La subnet privata definisce il percorso di rete per i backup tra un database e il servizio di recupero.
Allow group admin to manage recovery-service-family in tenancy	Compartimento radice	Consente agli utenti di un gruppo specificato di accedere a tutte le risorse del servizio di recupero. Gli utenti appartenenti al gruppo specificato possono gestire i database protetti, i criteri di protezione e le subnet del servizio di recupero.

Consenti agli utenti di gestire i criteri di protezione in Autonomous Recovery Service

Il modello criteri Consenti agli utenti di gestire i criteri di protezione in Autonomous Recovery Service concede autorizzazioni agli utenti di un gruppo specificato per creare, aggiornare ed eliminare le risorse dei criteri di protezione nel servizio di recupero.

È possibile selezionare il modello di criterio o aggiungere questa istruzione di criterio utilizzando l'editor manuale in Policy Builder.

Tabella - Istruzione dei criteri per la gestione dei criteri di protezione

Istruzione criteri	Crea in	Scopo
Allow group {group name} to manage recovery-service-policy in compartment {location}	Compartimento proprietario dei criteri di protezione.	Consente a tutti gli utenti di un gruppo specificato di creare, aggiornare ed eliminare i criteri di protezione nel servizio di recupero.

Esempio. Questo criterio concede al gruppo RecoveryServiceUser le autorizzazioni per creare, aggiornare ed eliminare i criteri di protezione nel compartimento ABC.

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

Consenti agli utenti di gestire le subnet di Autonomous Recovery Service

Il modello criteri Consenti agli utenti di gestire le subnet del servizio di recupero autonomo concede le autorizzazioni agli utenti di un gruppo specificato per creare, aggiornare ed eliminare le risorse della subnet del servizio di recupero.

È possibile selezionare il modello di criterio o aggiungere questa istruzione di criterio in Policy Builder.

Tabella - Istruzione dei criteri per la gestione delle subnet del servizio di recupero

Istruzione criteri	Crea in	Scopo
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	Compartimento proprietario delle subnet del servizio di recupero.	Consente a tutti gli utenti di un gruppo specificato di creare, aggiornare ed eliminare le subnet del servizio di recupero.

Esempio. Questo criterio concede al gruppo RecoveryServiceAdmin le autorizzazioni per gestire le subnet del servizio di recupero nel compartimento ABC.

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Per ulteriori informazioni sui criteri, vedere Gestione dei criteri.

Informazioni sull'uso di una subnet privata per il servizio di recupero

Il servizio di recupero utilizza una subnet privata all'interno di una rete cloud virtuale (VCN, Virtual Cloud Network) in cui risiede il database. La subnet privata definisce il percorso di rete per i backup tra il database e il servizio di recupero.

Oracle consiglia che la VCN del database debba disporre di una singola subnet privata dedicata ai backup nel servizio di recupero. Il database Oracle Cloud può risiedere nella stessa subnet privata utilizzata dal servizio di recupero o in una subnet diversa all'interno della stessa VCN.

Puoi creare una subnet privata o utilizzare una subnet preesistente nella VCN del database. Oracle consiglia di utilizzare una dimensione di subnet pari a /24 (256 indirizzi IP).

Nota

Selezionare una subnet solo IPv4 per il servizio di recupero nella VCN del database. Non selezionare una subnet abilitata per IPv6 poiché il servizio di recupero non supporta l'utilizzo di una subnet abilitata per IPv6.

La VCN del database richiede regole di sicurezza per consentire il traffico di backup tra il database e il servizio di recupero. Le regole di sicurezza devono includere regole di entrata con conservazione dello stato per consentire le porte di destinazione 8005 e 2484. È possibile utilizzare le funzioni del servizio di networking riportate di seguito per implementare le regole di sicurezza.

• Elenchi di sicurezza: una lista di sicurezza consente di aggiungere regole di sicurezza a livello di subnet. Nella VCN del database, selezionare la lista di sicurezza utilizzata per la subnet del servizio di recupero e aggiungere le regole di entrata per consentire le porte di destinazione 8005 e 2484.
• Gruppi di sicurezza di rete: i gruppi di sicurezza di rete (NSG) consentono il controllo granulare sulle regole di sicurezza che si applicano alle singole VNIC in una VCN. Il servizio di recupero supporta le opzioni riportate di seguito per configurare le regole di sicurezza utilizzando i gruppi NSG.
  • Per implementare l'isolamento della rete, creare un gruppo NSG per la VNIC del database (aggiungere regole di uscita per consentire le porte 2484 e 8005) e un gruppo NSG separato per il servizio di recupero (indirizzare le regole di entrata per consentire le porte 2484 e 8005).
  • Crea e utilizza un singolo gruppo NSG (con regole di uscita e entrata) per la VNIC e il servizio di recupero del database.

Nota

Se è stata configurata una lista di sicurezza e un gruppo NSG nella VCN del database, le regole definite nei gruppi NSG hanno la precedenza sulle regole definite in una lista di sicurezza.

Dopo aver creato una subnet privata nella VCN del database, assegnare le regole di sicurezza, quindi registrare la subnet come subnet del servizio di recupero nel servizio di recupero. Se sono stati creati gruppi NSG per implementare le regole di sicurezza, è inoltre necessario assicurarsi di associare il gruppo NSG del servizio di recupero alla subnet del servizio di recupero.

Nota

Oracle consiglia di utilizzare una subnet privata per i backup. Tuttavia, è possibile utilizzare una subnet pubblica.

Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

• Liste di sicurezza
• Gruppi di sicurezza di rete
• Gestione di VCN e subnet

Rivedi requisiti dimensione subnet e regole di sicurezza per la subnet del servizio di recupero

Le regole di sicurezza sono necessarie per consentire il traffico di backup tra un database e il servizio di recupero.

Nota

Selezionare una subnet solo IPv4 per il servizio di recupero nella VCN del database. Non selezionare una subnet abilitata per IPv6 poiché il servizio di recupero non supporta l'utilizzo di una subnet abilitata per IPv6.

Tabella - Requisiti della dimensione della subnet e regole di entrata per una subnet privata utilizzata dal servizio di recupero

Elemento	Requisiti
Dimensione subnet consigliata	/24 (256 Indirizzo IP)
Regola di entrata generale 1: Consenti traffico HTTPS da qualsiasi luogo	Questa regola consente il traffico di backup dal database OCI al servizio di recupero. Senza conservazione dello stato: No (tutte le regole devono avere lo stato) Tipo di origine: CIDR CIDR di origine: CIDR della VCN in cui risiede il database Protocollo IP: TCP Intervallo porte di origine: tutto Intervallo di porte di destinazione: 8005
Regola di entrata generale 2: consente il traffico SQLNet da qualsiasi luogo	Questa regola consente le connessioni al Recovery Catalog e la protezione dei dati in tempo reale dal database OCI al servizio di recupero. Senza conservazione dello stato: No (tutte le regole devono avere lo stato) Tipo di origine: CIDR CIDR di origine: CIDR della VCN in cui risiede il database Protocollo IP: TCP Intervallo porte di origine: tutto Intervallo di porte di destinazione: 2484

Nota

Se si utilizzano i gruppi di sicurezza di rete (NSG) per implementare le regole di sicurezza o se la VCN del database limita il traffico di rete tra le subnet, assicurarsi di aggiungere una regola di uscita per le porte 2484 e 8005 dal gruppo NSG o dalla subnet del database al gruppo NSG o alla subnet del servizio di recupero creati.

Analisi delle autorizzazioni del servizio di networking per configurare una subnet

Assicurarsi di disporre delle autorizzazioni del servizio di networking necessarie per creare una subnet nella VCN del database e per assegnare regole di sicurezza per il servizio di recupero.

Tabella - Autorizzazioni del servizio di networking necessarie per creare una subnet privata e configurare le regole di sicurezza per il servizio di recupero

Operazione	Criteri IAM necessari
Configurare una subnet privata in una VCN di database	use vcns per il compartimento in cui si trova la VCN use subnets per il compartimento in cui si trova la VCN manage private-ips per il compartimento in cui si trova la VCN manage vnics per il compartimento in cui si trova la VCN gestire le VM per il compartimento di cui viene eseguito il provisioning o in cui deve essere eseguito il provisioning del database

In alternativa, è possibile creare un criterio che consenta a un gruppo specificato di accedere più ampiamente ai componenti di rete.

Ad esempio, utilizzare questo criterio per consentire a un gruppo NetworkAdmin di gestire tutte le reti in qualsiasi compartimento di una tenancy.

Esempio - Criterio per amministratori di rete

Allow group NetworkAdmin to manage virtual-network-family in tenancy

Creare una subnet del servizio di recupero nella VCN del database

Utilizzare OCI Console per configurare una subnet privata per il servizio di recupero nella rete cloud virtuale (VCN) del database.

1. Nel menu di navigazione selezionare Networking, quindi Reti cloud virtuali.

   Viene visualizzata la pagina della lista VCN. Tutte le reti VCN nel compartimento selezionato vengono visualizzate in una tabella.

2. Selezionare la VCN in cui risiede il database.

3. Attenersi alla procedura riportata di seguito per creare una subnet del servizio di recupero con una lista di sicurezza. Se si sceglie di utilizzare i gruppi di sicurezza di rete, saltare questo passo.

   1. Nella pagina dei dettagli della VCN selezionare la scheda Sicurezza.
   2. Selezionare la lista di sicurezza utilizzata per la VCN. È necessario aggiungere due regole di entrata per consentire le porte di destinazione 8005 e 2484.
   3. Nella pagina dei dettagli della lista di sicurezza selezionare la scheda Regole di sicurezza.

      Selezionare Aggiungi regole di entrata e aggiungere i dettagli riportati di seguito per impostare una regola di entrata con conservazione dello stato che consenta il traffico HTTPS da qualsiasi posizione.

      • Tipo di origine: CIDR
      • CIDR di origine: specificare il CIDR della VCN in cui risiede il database.
      • Protocollo IP: TCP
      • Intervallo porte di origine: Tutte
      • Intervallo di porte di destinazione: 8005
      • Descrizione: specificare una descrizione facoltativa della regola di entrata per facilitare la gestione delle regole di sicurezza.

   4. Selezionare Aggiungi regola di entrata e aggiungere questi dettagli per impostare una regola di entrata con conservazione dello stato che consenta il traffico SQLNet da qualsiasi posizione:

      • Tipo di origine: CIDR
      • CIDR di origine: specificare il CIDR della VCN in cui risiede il database.
      • Protocollo IP: TCP
      • Intervallo porte di origine: Tutte
      • Intervallo di porte di destinazione: 2484
      • Descrizione: specificare una descrizione facoltativa della regola di entrata per facilitare la gestione delle regole di sicurezza.

      Nota

      Selezionare una subnet solo IPv4 per il servizio di recupero nella VCN del database. Non selezionare una subnet abilitata per IPv6 poiché il servizio di recupero non supporta l'utilizzo di una subnet abilitata per IPv6.
   5. Tornare alla pagina dei dettagli della VCN e selezionare la scheda Sottoreti.
   6. Selezionare Crea subnet.
   7. Creare una subnet privata o selezionare una subnet privata già esistente nella VCN del database. Oracle consiglia una dimensione di subnet pari a /24 (256 indirizzi IP) per la subnet privata.
   8. Nella pagina dei dettagli della subnet selezionare la scheda Sicurezza.
   9. Selezionare Aggiungi lista di sicurezza per aggiungere la lista di sicurezza che include le regole di entrata per consentire le porte di destinazione 8005 e 2484.

      Nota

      Se la VCN del database limita il traffico di rete tra le subnet, assicurarsi di aggiungere una regola di uscita per le porte 2484 e 8005 dalla subnet del database alla subnet del servizio di recupero creata.

4. Attenersi alla procedura riportata di seguito per creare una subnet del servizio di recupero con gruppi di sicurezza di rete (NSG).

   1. Tornare alla pagina dei dettagli della VCN e selezionare la scheda Sottoreti.
   2. Nella sezione Gruppi di sicurezza di rete selezionare Crea gruppo di sicurezza di rete.

   3. Utilizzare uno dei metodi supportati seguenti per configurare le regole di sicurezza utilizzando i gruppi di sicurezza di rete:

      • Per implementare l'isolamento della rete, creare un gruppo NSG per la VNIC del database (aggiungere regole di uscita per consentire le porte 2484 e 8005) e un gruppo NSG separato per il servizio di recupero (indirizzare le regole di entrata per consentire le porte 2484 e 8005).
      • Crea e utilizza un singolo gruppo NSG (con regole di uscita e entrata) per la VNIC e il servizio di recupero del database.

      La pagina Gruppo di sicurezza di rete elenca i gruppi NS creati dall'utente.

5. Dopo aver creato la subnet del servizio di recupero nella VCN del database, procedere alla registrazione della subnet come subnet del servizio di recupero. Oracle consiglia di registrare una singola subnet del servizio di recupero per ogni VCN. Se sono state implementate regole di sicurezza utilizzando i gruppi NSG, è inoltre necessario assicurarsi di aggiungere il gruppo NSG del servizio di recupero alla subnet del servizio di recupero.

Registra subnet servizio di recupero

Dopo aver creato una subnet privata per il servizio di recupero nella VCN del database, utilizzare questa procedura per registrare la subnet nel servizio di recupero.

Più database protetti possono utilizzare la stessa subnet del servizio di recupero. Per garantire che il numero richiesto di indirizzi IP sia disponibile per supportare gli endpoint privati del servizio di recupero, è possibile assegnare più subnet a una subnet del servizio di recupero utilizzata da più database protetti.

Nota

Selezionare una subnet solo IPv4 per il servizio di recupero nella VCN del database. Non selezionare una subnet abilitata per IPv6 poiché il servizio di recupero non supporta l'utilizzo di una subnet abilitata per IPv6.

Per registrare la subnet del servizio di recupero, effettuare le operazioni riportate di seguito.

1. Dal menu di navigazione, fare clic su Oracle Database e selezionare Backup database.
2. Selezionare Subnet servizio recupero.

   Viene visualizzata la pagina della lista di subnet del servizio di recupero. Tutte le subnet del servizio di recupero nel compartimento selezionato vengono visualizzate in una tabella.

3. Selezionare Registra subnet servizio di ripristino.
4. Nel pannello Registra subnet servizio di recupero immettere i dettagli riportati di seguito.
5. Nel campo Nome immettere un nome per la subnet del servizio di recupero.
6. Nel campo Compartimento selezionare il compartimento in cui si desidera creare la subnet del servizio di recupero.
7. Nel campo Rete cloud virtuale selezionare la VCN del database. Selezionare Compartimento per selezionare una VCN appartenente a un compartimento diverso.
8. Nel campo Subnet selezionare una subnet privata configurata per le operazioni del servizio di recupero nella VCN del database. Selezionare Compartimento per selezionare una subnet privata da un compartimento diverso.
9. (Facoltativo) Fare clic su +Another Subnet per assegnare una subnet aggiuntiva alla subnet del servizio di recupero. Se una singola subnet non contiene indirizzi IP sufficienti per supportare gli endpoint privati del servizio di recupero, è possibile assegnare più subnet.

10. Espandere Opzioni avanzate per immettere le funzioni aggiuntive riportate di seguito.

    • Gruppi di sicurezza di rete
    • Tag

    Se hai utilizzato un gruppo di sicurezza di rete (NSG) per implementare le regole di sicurezza per il servizio di recupero nella VCN del database, devi aggiungere il gruppo NSG del servizio di recupero alla subnet del servizio di recupero. Il gruppo NSG del servizio di recupero può risiedere nello stesso compartimento o in un altro compartimento. Tuttavia, il gruppo NSG deve appartenere alla stessa VCN a cui appartiene la subnet specificata.

    1. Nella sezione Gruppi di sicurezza di rete selezionare Usa gruppi di sicurezza di rete per controllare il traffico.
    2. Selezionare il gruppo NSG del servizio di recupero creato nella VCN del database.
    3. Selezionare +Another network security group per associare più gruppi NSG (massimo cinque).

    (Facoltativo) Nel campo Spazio di nomi tag valutare la possibilità di aggiungere uno spazio di nomi tag o di assegnare un tag al controllo con uno spazio di nomi tag esistente.

11. Selezionare Registrati.

Puoi sostituire una subnet o aggiungere altre subnet per supportare il numero richiesto di endpoint privati.

Attenersi alla procedura riportata di seguito per aggiornare una subnet del servizio di recupero esistente.

1. Nella pagina dei dettagli della subnet del servizio di recupero, selezionare la scheda Subnet.
2. Selezionare Aggiungi subnet e selezionare le subnet che si desidera aggiungere.
3. Per sostituire una subnet esistente, selezionare il menu Azione e selezionare Elimina. È quindi possibile aggiungere un'altra subnet.

Nota

Una subnet del servizio di recupero deve essere associata ad almeno una subnet appartenente alla VCN del database.

Attenersi alla procedura riportata di seguito per gestire i gruppi di sicurezza di rete (NSG) per una subnet del servizio di recupero esistente.

1. Nella scheda Gruppi di sicurezza della rete selezionare Add network security groups.
2. Selezionare e aggiungere i gruppi di sicurezza di rete del servizio di recupero (massimo cinque).
3. Per rimuovere un gruppo NSG, selezionare la risorsa e selezionare Rimuovi.

Assicurarsi che la subnet del servizio di recupero possa comunicare con i servizi Oracle

La subnet del servizio di recupero registrata deve comunicare con il servizio di recupero.

Per accedere al servizio, la tabella di routing per la subnet privata deve includere Tutti i servizi IAD in Oracle Services Network.

Assicurarsi che la funzione TDE del database sia completamente configurata

Quando si utilizza il servizio di recupero, è necessario disporre della cifratura TDE completa del database.

Per i nuovi database che nascono nel cloud, questo dovrebbe già essere fatto. Tuttavia, se crei un database stub in OCI ed esegui la migrazione di un database a Oracle Database Cloud Service da on-premise o da un'altra posizione, potresti non soddisfare tutti i criteri. Per questi database è necessario verificare di soddisfare i prerequisiti per un backup del servizio di recupero. Ho un post sul blog che puoi trovare qui che descriverà cosa controllare con le query da eseguire.

Devi soddisfare questi 3 criteri:

• È necessario configurare WALLET_ROOT nel database. Se si utilizza ancora sqlnet.ora, è necessario utilizzare dbaascli per impostare correttamente WALLET_ROOT per tutti i database che utilizzeranno il servizio di recupero. Per abilitare il parametro SPFILE wallet_root per un database esistente, eseguire le operazioni riportate di seguito.

  dbaascli tde enableWalletRoot

  Nota

  L'impostazione di ENCRYPTION_WALLET_LOCATION in sqlnet.ora non è supportata e non sarà più valida.
• È necessario disporre di una chiave di cifratura impostata per il CDB e tutti i PDB nel database.
• Tutte le tablespace devono essere cifrate TDE prima di eseguire il primo backup.

Disattiva qualsiasi backup operativo manuale

In alcuni casi, gli utenti OCI eseguono backup operativi manuali. Questi backup vengono eseguiti al di fuori degli strumenti standard e supportano il recupero point-in-time (backup non-KEEP).

Se si esegue uno di questi tipi di backup operativi, è fondamentale disattivarli a questo punto. L'esecuzione di backup operativi in due posizioni diverse può causare problemi con entrambi i backup e creare scenari di perdita di dati. Pertanto, prima di abilitare i backup automatici, è necessario disabilitare gli script e i processi di backup manuali in altre destinazioni di storage.

Nota

Se si utilizzano gli strumenti per i backup dello storage degli oggetti e si passa al servizio di recupero, lo switchover verrà automatizzato dagli strumenti e tutti i backup precedenti rimarranno disponibili.

---

Titolo e informazioni sul copyright

Copyright ©2024,2025,

Oracle e/o relative consociate.