Configura Oracle Data Guard per Oracle Exadata Database Service on Dedicated Infrastructure

Data Guard per Oracle Exadata Database Service on Dedicated Infrastructure supporta chiavi gestite da Oracle e chiavi gestite dal cliente per Transparent Data Encryption (TDE). Le chiavi gestite da Oracle utilizzano wallet basati su password per memorizzare e gestire le chiavi TDE, mentre le chiavi gestite dal cliente consentono di memorizzare e gestire le chiavi TDE in OCI Vault. Per impostazione predefinita, Oracle Exadata Database Service on Dedicated Infrastructure utilizza chiavi gestite da Oracle.

Verifica dei criteri di sicurezza e dei gruppi dinamici

Se il database utilizza OCI Vault per memorizzare le chiavi gestite dal cliente, è necessario seguire i passi riportati di seguito per verificare che tutti i criteri di sicurezza richiesti e i gruppi dinamici siano configurati correttamente. È possibile saltare questa sezione se il database utilizza chiavi gestite da Oracle.

  1. Nella console OCI, andare al menu principale e fare clic su Identità e sicurezza.
  2. Fare clic su Gruppi dinamici.
    Nelle tenancy più recenti fare clic su Domini, quindi su Gruppi dinamici.
  3. Verificare che un gruppo dinamico sia configurato con una regola simile alla seguente:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. Passare a Identità e sicurezza, quindi fare clic su Criteri.
    Verificare che esista un criterio di sicurezza con le regole riportate di seguito.
    Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

Verifica replica vault OCI

Se si sta configurando Oracle Data Guard tra due aree e il database utilizza chiavi gestite dal cliente, è necessario replicare un vault privato virtuale tra le due aree. È possibile saltare questa sezione se il database utilizza chiavi gestite da Oracle. Questi passi descrivono come verificare che il vault privato virtuale sia in fase di replica in entrambe le aree.

  1. Andare al menu OCI e fare clic su Identità e sicurezza.
  2. Fare clic su Vault.
  3. Nella lista dei vault disponibili, verificare che la colonna Virtual Private sia impostata su yes affinché il vault venga utilizzato per i database nell'associazione Data Guard.
    Se un vault non esiste ancora, fare clic su Crea vault e fornire un nome per il vault. Selezionare l'opzione Rendi vault privato virtuale, quindi fare clic su Crea vault.
  4. Verificare che Virtual Private Vault sia replicato nell'area in cui verrà creato il database di standby:
    1. Andare al menu OCI e selezionare Identità e sicurezza.
    2. Fare clic su Vault.
    3. Selezionare il vault da utilizzare per i database nell'associazione Data Guard.
      Se la replica del vault è abilitata per questo vault, nella pagina Vault verranno visualizzati il ruolo di replica e i dettagli della replica. Se non vengono visualizzate informazioni sulla replica, il vault non viene replicato.
  5. Per replicare il vault in un'altra area, fare clic su Replica vault. Selezionare l'area in cui verrà configurato il database di standby, quindi fare clic su Crea replica.
    Il vault viene replicato nell'altra area e sarà disponibile per creare le associazioni Data Guard dopo alcuni minuti.
  6. Verificare che tutte le chiavi esistenti per i database esistenti siano state replicate dal vault di origine al vault di replica.
  7. Nel vault di origine, creare nuove chiavi per i nuovi database e verificare che siano replicate nel vault di replica.

Configura Oracle Data Guard nell'area

Questi passi descrivono come abilitare Oracle Data Guard per i database Oracle Exadata Database Service on Dedicated Infrastructure nella stessa area.

  1. Andare al menu OCI e fare clic su Oracle Database.
  2. Fai clic su Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Selezionare il compartimento in cui è configurato il cluster VM Oracle Exadata Database Service on Dedicated Infrastructure.
  4. Selezionare il cluster VM in cui si trova il database da configurare con Oracle Data Guard.
  5. Fare clic sul nome del database per selezionare il database specifico.
  6. In Risorse, fare clic su Associazioni Data Guard.
  7. Fare clic su Aggiungi standby. Si aprirà una finestra Aggiungi standby, la versione del database determina le opzioni visualizzate. I database versione 11g e 12c supportano le associazioni Data Guard, mentre le versioni 19c e più recenti supportano i gruppi Data Guard. Selezionare se configurare un'associazione Data Guard o un gruppo Data Guard.
  8. Configurare le opzioni di Data Guard:
    • Area peer: l'area per il database selezionato viene visualizzata per impostazione predefinita. Utilizzare quest'area per la configurazione di Oracle Data Guard.
    • Dominio di disponibilità: il dominio di disponibilità per il database selezionato viene visualizzato per impostazione predefinita. Utilizzare questo dominio di disponibilità se il database in standby deve essere configurato sullo stesso dominio di disponibilità del database primario. In caso contrario, selezionare un dominio di disponibilità diverso.
    • Infrastruttura Exadata: selezionare l'infrastruttura Exadata in cui verrà eseguito il standby.
    • Tipo di risorsa peer Data Guard: selezionare il cluster VM.
    • Cluster VM: selezionare il cluster VM in cui verrà eseguito il database di standby. Se il database di standby verrà eseguito in un cluster VM in un compartimento diverso, selezionare il compartimento corrispondente. Per impostazione predefinita, viene selezionato lo stesso compartimento del database primario.
    • Tipo Data Guard: selezionare Data Guard o Active Data Guard. Active Data Guard potrebbe richiedere una licenza aggiuntiva.
    • Modalità di protezione: selezionare Prestazioni massime o Disponibilità massima.
    • Trasporto: sincrono o asincrono a seconda della modalità di protezione selezionata. Se la modalità di protezione è Max Performance, il trasporto è asincrono. Se la modalità di protezione è Disponibilità massima, il trasporto è sincrono.
    • Home database: selezionare una home database esistente o crearne una nuova. Assicurarsi che la home del database esegua la stessa versione e le stesse patch del software del database Oracle del database primario.
    • Nome univoco database: (facoltativo) fornire un nome univoco del database per il database di standby peer. Se non viene fornito alcun nome univoco del database, per impostazione predefinita l'interfaccia OCI configurerà automaticamente un nome univoco del database per il database in standby.
    • Password: fornire la password sys per il database primario. La password sys e la password del wallet TDE devono essere uguali quando si utilizzano chiavi gestite da Oracle.
    • Password TDE: immettere la password TDE per il database primario. La password sys e TDE possono essere uguali quando si utilizzano le chiavi gestite da Oracle.
  9. Fare clic su Aggiungi standby.
Una volta completata la richiesta di lavoro, viene creato un nuovo database nel cluster VM di standby e tra i due database viene creato un gruppo o un'associazione Data Guard. Il nuovo database è configurato come database in standby.

Configura Oracle Data Guard tra più aree

Questi passi descrivono come abilitare Oracle Data Guard per i database Oracle Exadata Database Service on Dedicated Infrastructure in aree diverse.

  1. Nella tenancy OCI selezionare l'area in cui è configurato il database primario.
  2. Creare una connessione peering remoto per la VCN in cui è configurato il database primario:
    1. Selezionare Networking, quindi Reti cloud virtuali
    2. Selezionare Connettività cliente.
    3. Selezionare Gateway di instradamento dinamico. Selezionare un gateway di instradamento dinamico (DRG) esistente o creare un nuovo gateway di instradamento dinamico se non ne esiste già uno.
    4. Dal menu Gateway di instradamento dinamico selezionare Allegati alle reti cloud virtuali. Creare un collegamento alle reti cloud virtuali, se non ne esiste già uno.
    5. Dal menu Dynamic Routing Gateway selezionare Collegamenti di connessione peering remoto, quindi fare clic su Crea connessione peering remoto. Immettere un nome per la connessione peering remoto e fare clic su Crea connessione peering remoto.
      In questo modo viene creato un collegamento di connessione peering remoto con stato Peering Nuovo (non sottoposto a peering). Il collegamento alla connessione peering remoto include l'instradamento richiesto dalla VCN del database primario al DRG.
  3. Creare un instradamento dalla VCN del database primario alla VCN del database di standby:
    1. Dal menu OCI, selezionare Networking, quindi Reti private virtuali. Selezionare la VCN per l'area del database primario.
    2. Dal menu VCN, selezionare Tabelle instradamento, quindi selezionare la tabella di instradamento per la subnet privata.
    3. Aggiungere un instradamento alla VCN in cui verrà configurato il database di standby.
      Ad esempio, se il database in standby verrà configurato in una VCN in cui l'indirizzo IP è 10.1.0.0/16, aggiungere un instradamento per la destinazione 10.1.0.0/16 utilizzando il gateway DRG.
  4. Aggiungere una regola di sicurezza in entrata alla lista di sicurezza della rete privata per consentire le connessioni alla porta 1521 dalla rete in cui è configurato il database in standby (utilizzando l'esempio precedente, rete 10.1.0.0/16).
  5. Selezionare l'area in cui verrà eseguito il database in standby.
  6. Creare una connessione peering remoto per la VCN in cui verrà configurato il database di standby:
    1. Dal menu OCI selezionare Networking, quindi selezionare Reti cloud virtuali.
    2. Selezionare Connettività cliente.
    3. Selezionare Dynamic Routing Gateway, quindi selezionare un DRG esistente. Crearne uno se non esiste già e selezionare il nuovo DRG.
    4. Dal menu Gateway di instradamento dinamico, selezionare Allegati reti cloud virtuali. Creare un collegamento VCN se non ne esiste già uno.
    5. Dal menu Dynamic Routing Gateway, selezionare Allegati di connessione peering remoto, quindi fare clic su Crea connessione peering remoto. Immettere un nome per la connessione peering remoto e fare clic su Crea connessione peering remoto.
      Viene creato un nuovo collegamento di connessione peering remoto con stato peering Nuovo (non sottoposto a peering). Il collegamento alla connessione peering remoto includerà l'instradamento richiesto dalla VCN del database di standby al DRG. Prendere nota dell'OCID connessione peering remoto, che verrà utilizzato durante il passo peering.
  7. Creare un instradamento dalla VCN del database di standby alla VCN del database primario:
    1. Dal menu OCI, fare clic su Networking, quindi su Reti private virtuali. Selezionare la VCN per l'area in cui verrà configurato il database di standby.
    2. Dal menu Reti cloud virtuali, fare clic su Tabelle instradamento, quindi selezionare la tabella di instradamento per la subnet privata.
    3. Aggiungere un instradamento alla VCN in cui è configurato il database primario.
      Ad esempio, se il database primario è in esecuzione su una VCN in cui l'indirizzo IP è 10.0.0.0/16, aggiungere un instradamento per la destinazione 10.0.0.0/16 utilizzando il gateway DRG.
  8. Aggiungere una regola di sicurezza in entrata alla lista di sicurezza della rete privata per consentire le connessioni alla porta 1521 dalla VCN in cui è configurato il database primario (utilizzando l'esempio precedente, dalla rete 10.0.0.0/16).
  9. Nell'area del database primario, andare al menu OCI e selezionare Networking. Fare clic su Reti cloud virtuali, quindi selezionare la VCN per la rete in cui è in esecuzione il database primario.
  10. Fare clic su Collegamenti di connessioni peering remoto.
    La connessione peering remoto creata al passo 2.e verrà visualizzata nello stato peering Nuovo (non sottoposto a peering).
  11. Fare clic sul nome della connessione peering remoto.
    Vengono visualizzati i dettagli relativi alla connessione peering remoto.
  12. Nella pagina dei dettagli della connessione peering remoto, fare clic su Stabilisci connessione.
    Si aprirà una nuova finestra.
  13. Selezionare l'area in cui verrà eseguito il database di standby e l'OCID della connessione peer remota di standby (OCID dal passo 6.e.)
    Se il peering riesce, lo stato del peering passerà da Nuovo a In sospeso a Peering.
    La comunicazione di rete tra le reti VCN delle due aree è stata stabilita e Data Guard tra più aree può essere configurato.
  14. Dal menu OCI, fai clic su Oracle Database, quindi fai clic su Oracle Exadata Database Service on Dedicated Infrastructure.
  15. Selezionare il compartimento in cui è configurato il cluster VM del database primario.
  16. Selezionare il cluster VM che include il database da configurare con Oracle Data Guard.
  17. Fare clic sul nome del database per selezionare il database specifico.
  18. In Risorse, fare clic su Associazioni Data Guard.
  19. Fare clic su Aggiungi standby. Si aprirà una finestra Aggiungi standby, la versione del database determina le opzioni visualizzate. I database versione 11g e 12c supportano le associazioni Data Guard, mentre le versioni 19c e più recenti supportano i gruppi Data Guard. Selezionare se configurare un'associazione Data Guard o un gruppo Data Guard.
  20. Configurare le opzioni di Data Guard:
    • Area: selezionare l'area in cui verrà eseguito il database in standby. È necessario fornire un'area diversa perché si tratta di una configurazione Oracle Data Guard tra più aree.
    • Dominio di disponibilità: selezionare il dominio di disponibilità in cui è distribuito Oracle Exadata Database Service on Dedicated Infrastructure in standby.
    • Infrastruttura Exadata: selezionare l'infrastruttura Exadata in cui verrà eseguito il standby.
    • Cluster VM: selezionare il cluster VM in cui verrà eseguito il database di standby. Se il database di standby verrà eseguito in un cluster VM in un compartimento diverso, selezionare il compartimento corrispondente. Per impostazione predefinita, viene selezionato lo stesso compartimento del database primario.
    • Tipo Data Guard: selezionare Data Guard o Active Data Guard. Active Data Guard potrebbe richiedere una licenza aggiuntiva.
    • Modalità di protezione: selezionare Prestazioni massime. Questa è l'unica opzione supportata per Data Guard tra più aree.
    • Trasporto: selezionare un valore asincrono. Questa è l'unica opzione supportata per Data Guard tra più aree.
    • Home database: selezionare una home database esistente o crearne una nuova. Assicurarsi che la home del database esegua la stessa versione e le stesse patch del software del database Oracle del database primario.
    • Nome univoco del database: (facoltativo) immettere un nome univoco del database per il database di standby peer. Se non viene immesso alcun nome univoco del database, per impostazione predefinita l'interfaccia OCI configurerà in modo automatico un nome univoco del database per il database in standby.
    • Password: fornire la password sys per il database primario. La password sys e la password del wallet TDE devono essere uguali quando si utilizzano le chiavi gestite da Oracle.
    • Password TDE: immettere la password TDE per il database primario. La password sys e TDE possono essere uguali quando si utilizzano le chiavi gestite da Oracle.
  21. Fare clic su Aggiungi standby.
Una volta completata la richiesta di lavoro, viene creato un nuovo database nel cluster VM di standby e tra i due database viene creato un gruppo o un'associazione Data Guard. Il nuovo database è configurato come database in standby.