Oracle Cloud Infrastructureドキュメント

リカバリ・サービスへのOracle Databaseのオンボーディング

チェックリストを使用して必須要件を確認し、Oracle Databaseのリカバリ・サービスへのオンボーディングを計画します。

リカバリ・サービスの必須要件チェックリスト

このチェックリストを使用して、Oracle Database to Recovery Serviceをオンボードするための必須の前提条件を確認します。

ノート

2つの異なるバックアップ保存先への操作バックアップによって、データ損失シナリオが作成される場合があります。したがって、リカバリ・サービスへの自動バックアップを有効にする前に、他のストレージ宛先への手動バックアップ・スクリプトおよびプロセスを無効にする必要があります。

表2-1 Database to Recoveryサービスのオンボーディングの必須要件

Check タスク

リカバリ・サービスで使用されるポート
これらのネットワーク・ポートを開き、リカバリ・サービスのセキュリティ・ルールを構成する必要があります。
  • ポート2484 - リカバリ・サービスで使用されるRMANカタログへのSQL*Net接続を有効にします。
  • ポート8005 - データベースからリカバリ・サービスへのバックアップ・トラフィックを有効にします。

リカバリ・サービスのセキュリティ・ルール
セキュリティ・ルールを構成するには、「セキュリティ・リスト」または「ネットワーク・セキュリティ・グループ(NSG)」を使用します。
  • OCIにデプロイされたOracle Databasesのセキュリティ・ルール
    OCIデータベースの場合、Oracleでは、セキュリティ・リストを使用して、データベースVCNのリカバリ・サービス・サブネットのセキュリティ・ルールを実装することをお薦めします。
    • Oracle Exadata Database Service on Dedicated Infrastructureでは、バックアップ・サブネットがデフォルトのリカバリ・サービス・サブネットとして使用されます。
    • Oracle Base Database Serviceでは、データベース・サブネットがデフォルトのリカバリ・サービス・サブネットとして使用されます。

    詳細は、リカバリ・サービス・サブネットのサブネット・サイズおよびセキュリティ・ルールを参照してください。

  • Oracle Multicloudデータベースのセキュリティ・ルール

    Oracle Multicloudデータベースの場合、リカバリ・サービス・サブネットの登録中に、ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを定義し、NSGを関連付ける必要があります(最大5つ)。

サポートされるプラットフォーム

Linux x86-64

ターゲット・データベースの互換性レベル

19.0.0 以上

ターゲット・データベースの互換性レベル(COMPATIBLE初期化パラメータ)が19.0.0以上に設定されていることを確認します。

サポートされているOracle Databaseリリース

Oracle CloudデータベースとOracle Multicloudデータベース

Autonomous Recovery Serviceは、次のいずれかのリリースでプロビジョニングされたOracle CloudデータベースおよびOracle Multicloudデータベースのバックアップ保存先として設定できます:
  • Oracle Database 23ai (23.4)以上
  • Oracle Database 21cリリース7 (21.7)以降

    リアルタイム・データ保護機能を使用するには、Oracle Database 21cリリース8 (21.8)以降でデータベースをプロビジョニングする必要があります。

  • Oracle Database 19cリリース16 (19.16)以降

    リアルタイム・データ保護機能を使用するには、Oracle Database 19cリリース18 (19.18)以降でデータベースをプロビジョニングする必要があります。

オンプレミスのOracle Databases

これらのいずれかのリリースでプロビジョニングされたオンプレミスのOracle Databasesをリカバリ・サービスに追加できます。
  • Oracle Database 23ai (23.4)以降
  • Oracle Database 19cリリース18 (19.18)以上

詳細は、クラウド保護を使用したリカバリ・サービスへのオンプレミス・データベースの追加を参照してください。

Government Cloud上のRecovery ServiceをサポートするOracle Databaseリリース

リカバリ・サービスのリソース制限

リカバリ・サービスのリソース制限が適切であることを確認し、必要に応じてサービス制限の拡大をリクエストします。

Oracle Multicloudデータベースの場合、OCIコンソールの「制限、割当ておよび使用状況」ページから、マルチクラウド・サブスクリプションに固有の制限を確認および調整する必要があります。

注意:

マルチクラウド・サブスクリプションを選択しない場合、増加した制限がOCIリソースに適用されます。

詳細は、リカバリ・サービス・リソース制限を参照してください。

リカバリ・サービスIAMポリシー
  • OCIのOracle Databases

    デフォルトでは、OCIにデプロイされたOracle Databasesには、バックアップ用のリカバリ・サービスにアクセスする権限がすでに割り当てられています。

    tag namespaceポリシーなどのオプションのポリシー、またはリカバリ・サービス・リソースを管理するために特定のユーザーまたはグループへのアクセスを制限するポリシーを割り当てることができます。

    OCIでのOracle Databasesのオプション権限を参照してください

  • Oracle Multicloudデータベース

    バックアップにリカバリ・サービスを使用するには、Oracle Multicloudデータベース・サービスに必要な権限を割り当てる必要があります。

    詳細は、Oracle Multicloudデータベースでのリカバリ・サービスの使用に必要な権限を参照してください。

データベースの暗号化

オンプレミスのOracle Databaseをリカバリ・サービスにバックアップする場合、TDEがデータベースに対して構成されているかどうかに関係なく、TDEウォレットを設定してオープンする必要があります。プラガブル・データベース(PDB)でローカルTDEウォレットを使用する場合は、ローカルTDEウォレットがオープンしている必要があります。これは、リカバリ・サービスへのバックアップの暗号化に必要です。

詳細は、『Transparent Data Encryption Guide』の次の項を参照してください。

注意:

Oracleでは、Oracle Key Vaultなどの外部キー管理システムを使用することを強くお薦めします。暗号化されたデータと同じサーバーに復号化キーを格納すると、データベース・サーバー攻撃によって、キーおよびデータベースにアクセスできる可能性があります。暗号化バックアップは、鍵が危険にさらされたり盗まれたりした場合には回復できません。

オンプレミス・データベースをリカバリ・サービスに追加する詳細なステップは、Oracle Database Zero Data Loss Cloud Protectを使用したオンプレミス・データベースの保護を参照してください。

DNS解決

オンプレミスのOracle Databaseをリカバリ・サービスに追加する場合、オンプレミス・ネットワークからのDNSリクエストを受け入れるにはDNSリスナーが必要です。

DNSリスナーは、リカバリ・サービスのバックアップIPアドレスの解決に使用されます。FQDNはリカバリ・サービス・サブネットに登録する必要があります。

オンプレミス・データベースをリカバリ・サービスに追加する詳細なステップは、Oracle Database Zero Data Loss Cloud Protectを使用したオンプレミス・データベースの保護を参照してください。

OCIのOracle Databasesのリカバリ・サービス・サブネット
Oracle Exadata Database Service on Dedicated InfrastructureやOracle Base Database ServiceなどのOCIデータベースの場合、自動バックアップを有効にすると、リカバリ・サービス・サブネットが自動的に登録されます。
  • Oracle Exadata Database Service on Dedicated Infrastructureの場合、リカバリ・サービスによって、バックアップ・サブネットがデフォルトのリカバリ・サービス・サブネットとして自動的に登録されます。
  • Oracle Base Database Serviceの場合、リカバリ・サービスによって、データベース・サブネットがデフォルトのリカバリ・サービス・サブネットとして自動的に登録されます。
次のいずれかのオプションを選択します:
  • サービスによってすでに登録されているデフォルトのリカバリ・サービス・サブネットを使用します(推奨)。

    詳細は、保護されたデータベースのリカバリ・サービス・サブネットの詳細の取得を参照してください。

  • (オプション)データベースVCNに独自のリカバリ・サービス・サブネットを作成します。

    リカバリ・サービスには、データベースが存在する同じ仮想クラウド・ネットワーク(VCN)にIPv4のみのサブネットが必要です。まず、データベースVCNに独自のリカバリ・サービス・サブネットを作成し、作成したリカバリ・サービス・サブネットにセキュリティ・ルールを割り当てます。最後に、リカバリ・サービス・サブネットを登録します。ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを定義した場合は、NSGをリカバリ・サービス・サブネットに追加する必要があります(最大5つ)。

Oracle Multicloudデータベースのリカバリ・サービス・サブネット

Oracle Multicloudデータベースの場合、ネットワーク・セキュリティ・グループ(NSG)を関連付けて、バックアップ・サブネットをリカバリ・サービス・サブネットとして登録してください。推奨されるサブネット・サイズは/24です。

リカバリ・サービスは、次のOracle Multicloudデータベース・サービスをサポートしています。
  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS
    ノート

    ネットワーク・ポート2484および8005を使用すると、Oracle Database@AWSとリカバリ・サービス間のネットワーク接続が可能になります。既存のOCIテナンシで、ネットワーク・ポート2484および8005を開いてください。新しいOCIテナンシでは、Oracle Database@AWSに対して同じネットワーク・ポートがデフォルトで開かれます。

    Oracle Database@AWSリソースをリカバリ・サービスにオンボードすると、バックアップ・サブネットがリカバリ・サービス・サブネットとして自動的に登録されます。サービスによって自動的に登録されるデフォルトのリカバリ・サービス・サブネットを使用するか、独自のリカバリ・サービス・サブネットを登録できます。

オンプレミスOracle Databases用のSBTライブラリ

クラウド保護フリート・エージェントでは、リカバリ・サービスを使用してデータベースのバックアップおよびリカバリ操作を実行するには、SBTライブラリ・ファイルlibra.soが必要です。

Oracle Database 19.27以降のバージョンおよびOracle Database 23aiでは、データベースのインストール後、$ORACLE_HOME/libディレクトリでlibra.so SBTライブラリを使用できます。

Oracle Database 19.26以前のバージョンの場合は、My Oracle Supportパッチ番号37855779からlibra.so SBTライブラリ・ファイルをダウンロードしてください。

詳細は、「Oracle Database Zero Data Loss Cloud Protectを使用したオンプレミス・データベースの保護」を参照してください。

リカバリ・サービスのオプションの構成チェックリスト

リカバリ・サービスのこれらの追加オプションの構成を選択できます。

表2-2リカバリ・サービスのオプションの構成チェックリスト

Check 詳細情報

保護ポリシーのオプション
  • カスタム保護ポリシー

    Oracle定義の保護ポリシーを使用する以外に、カスタム保護ポリシーを作成して、必要な保持期間(最小14日から最大95日)を定義することもできます。

  • バックアップ記憶域の場所の選択

    デフォルトでは、リカバリ・サービスによって、保護されているデータベースおよび関連するバックアップがOracle Cloudに作成されます。オプションで、Oracle Database@AzureOracle Database@Google CloudOracle Database@AWSなどのOracle Multicloudデータベースのこのデフォルトの動作をオーバーライドできます。

    カスタム保護ポリシーの「データベースと同じクラウド・プロバイダにバックアップを格納」オプションを有効にすると、ポリシーにリンクされた保護されたデータベースおよびバックアップは、Oracle Databaseがプロビジョニングされているのと同じクラウド・プロバイダに格納されます。

    詳細は、マルチクラウドのOracle Databaseバックアップ・サポートを参照してください。

  • 保存ロックの有効化

    保持ロックは、保護されたデータベースのバックアップを保護するためのオプション機能です。詳細は、「保持ロックを使用したバックアップの保護」を参照してください。

リカバリ・サービス・リソースを管理するためのIAMユーザーおよびグループ

テナンシ管理者は、IAMユーザーおよびグループを作成して、リカバリ・サービス関連タスクを管理できます。

その後、リカバリ・サービス・ポリシー・ステートメントをグループに割り当てることができます。たとえば、recoveryserviceadminというグループを作成し、recoveryserviceadminグループが保護されたデータベース、保護ポリシーおよびリカバリ・サービス・サブネットを管理できるようにするポリシーを割り当てます。

リカバリ・サービス・リソース制限

サービス制限は、リソースに対して設定された割当てまたは許容量です。Autonomous Recovery Serviceには、保護されたデータベースの数およびバックアップ・ストレージ領域の使用率の最大制限があります。制限は各リージョンに適用されます。

表2-3 Autonomous Recovery Serviceのリソース制限

リソース Oracleユニバーサル・クレジット Pay As You Goまたはトライアル

Autonomous Recovery Serviceで保護されたデータベース数

お問合せ

お問合せ

リカバリ・ウィンドウに使用されたAutonomous Recovery Serviceの領域(GB)

お問合せ

お問合せ

コンソールを使用して、現在のサービス制限および使用状況情報を確認し、必要に応じてリソース制限の引上げをリクエストします。

  1. ナビゲーション・メニューで、「ガバナンスと管理」「テナンシ管理」の順に選択します。
  2. 「制限、割当ておよび使用状況」を選択します。
  3. 「サービス」リストから「Autonomous Recovery Service」を選択します。
    現在の制限および使用状況の情報を確認します。
  4. 必要な場合は、サービス・リソース制限の引上げをリクエストします。Oracle Multicloudデータベースの場合、「制限、割当ておよび使用状況」ページから、マルチクラウド・サブスクリプションに固有の制限を確認および調整してください。

    注意:

    マルチクラウド・サブスクリプションを選択しない場合、増加した制限がOCIリソースに適用されます。
  5. (オプション)コンパートメント内のリソース使用率を制御することもできます。詳細は、割当て制限ポリシーのクイック・スタートを参照してください。

OCIのOracle Databasesに対するオプションの権限

デフォルトでは、OCIのOracle Databasesには、リカバリ・サービスにアクセスする権限が割り当てられます。サービスは、データベースVCN内のネットワーク・リソースにもアクセスできます。このトピックの説明に従って、OCIデータベースに追加およびオプションの権限を割り当てることができます。

ノート

リカバリ・サービスには、Oracle Database@AzureOracle Database@Google CloudおよびOracle Database@AWS用の個別のIAMポリシー・テンプレートが含まれます。

Oracle Multicloudデータベースのリカバリ・サービスを構成する場合は、この項をスキップして、Oracle Multicloudデータベースでリカバリ・サービスを使用するための権限に進みます。

OCIデータベースにオプションの権限を割り当てるには:
  1. ポリシー・ビルダーで、「ポリシー・ユースケース」として「Autonomous Recovery Service」を選択します。
  2. ポリシー・テンプレートを選択するか、ポリシー・ビルダーのマニュアル・エディタを使用してポリシー・ステートメントを追加します(表2-4表2-5および表2-6を参照)。

表2-4自律型リカバリ・サービス・ポリシー・テンプレートですべてを行う機能の追加権限

ポリシー・ステートメント 作成場所 目的

Allow service database to manage tagnamespace in tenancy

ルート・コンパートメント

OCIデータベース・サービスがテナンシのタグ・ネームスペースにアクセスできるようにします。

この権限を割り当てた場合、保護されたデータベースはソース・データベースからタグを継承できます。

Allow group admin to manage recovery-service-family in tenancy

ルート・コンパートメント

指定したグループのユーザーがすべてのリカバリ・サービス・リソースにアクセスできるようにします。指定したグループに属するユーザーは、保護されたデータベース、保護ポリシーおよびリカバリ・サービス・サブネットを管理できます。

表2-5自律型リカバリ・サービスで保護ポリシーを管理させます

ポリシー・ステートメント 作成場所 目的

Allow group {group name} to manage recovery-service-policy in compartment {location}

保護ポリシーを所有するコンパートメント。

指定したグループ内のすべてのユーザーが、リカバリ・サービスで保護ポリシーを作成、更新および削除できるようにします。

次に例を示します。

このポリシーは、ABCコンパートメントで保護ポリシーを作成、更新および削除する権限を持つRecoveryServiceUserグループに付与します。
Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

ユーザーへの自律型リカバリ・サービス・サブネットの管理ポリシー・テンプレート

表2-6ユーザーに自律型リカバリ・サービス・サブネットを管理させます

ポリシー・ステートメント 作成場所 目的

Allow Group {group name} to manage recovery-service-subnet in compartment {location}

リカバリ・サービス・サブネットを所有するコンパートメント。

指定したグループ内のすべてのユーザーがリカバリ・サービス・サブネットを作成、更新および削除できるようにします。

次に例を示します。

このポリシーは、ABCコンパートメント内のリカバリ・サービス・サブネットを管理する権限を持つRecoveryServiceAdminグループに付与します。
Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

リカバリ・サービスを使用するためのOracle Multicloudデータベースに必要な権限

Oracle Multicloudデータベースによるリカバリ・サービスへのバックアップの送信を許可するリカバリ・サービスIAMポリシーを割り当てます。

ポリシー・ビルダーで、「Autonomous Recovery Service」「ポリシー・ユース・ケース」として選択し、Oracle Multicloudデータベースに関連するこれらのポリシーのいずれかを割り当てます。

表2-7 Oracle Multicloudデータベースのリカバリ・サービス・ポリシー

Oracle Multicloudサービス リカバリ・サービス・ポリシーのテンプレートおよび文

Oracle Database@Azure

Oracle Database@Azureでバックアップに自律型リカバリ・サービスを使用する


Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy 
where target.subscription.serviceName = 'ORACLEDBATAZURE'

ORACLEDBATAZUREは、Oracle Database@Azureのサービス名を示します。

Oracle Database@Google Cloud

Oracle Database@Google Cloudでバックアップに自律型リカバリ・サービスを使用する


Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where 
target.subscription.serviceName = 'ORACLEDBATGOOGLE'

ORACLEDBATGOOGLEは、Oracle Database@Google Cloudのサービス名を示します。

Oracle Database@AWS
既存のOCIテナンシの場合は、ポリシー・ビルダーのマニュアル・エディタを使用して、Oracle Database@AWSがリカバリ・サービスにバックアップするために必要なこれらのポリシー・ステートメントを追加します。新しいOCIテナンシの場合、これらの権限はデフォルトで割り当てられます。

Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where 
target.subscription.serviceName = 'ORACLEDBATAWS'

ORACLEDBATAWSは、Oracle Database@AWSのサービス名を示します。

リカバリ・サービスのネットワーク・リソースの構成

データベースVCNのリカバリ・サービス操作に、既存のIPv4のみのサブネットを作成または使用します。データベースとリカバリ・サービス間のバックアップ・トラフィックを制御するセキュリティ・ルールを定義します。

ノート

Oracle Multicloudデータベースの場合、バックアップ・サブネットをリカバリ・サービス・サブネットとして登録してください。推奨されるサブネット・サイズは/24です。

リカバリ・サービスは、次のOracle Multicloudデータベース・サービスをサポートしています。
  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS

    ネットワーク・ポート2484および8005を使用すると、Oracle Database@AWSとリカバリ・サービス間のネットワーク接続が可能になります。既存のOCIテナンシで、ネットワーク・ポート2484および8005を開いてください。新しいOCIテナンシでは、Oracle Database@AWSに対して同じネットワーク・ポートがデフォルトで開かれます。

    Oracle Database@AWSリソースをリカバリ・サービスにオンボードすると、バックアップ・サブネットがリカバリ・サービス・サブネットとして自動的に登録されます。サービスによって自動的に登録されるデフォルトのリカバリ・サービス・サブネットを使用するか、独自のリカバリ・サービス・サブネットを登録できます。

親トピック: リカバリ・サービスへのOracle Databaseのオンボーディング

リカバリ・サービス操作でのプライベート・サブネットの使用について

リカバリ・サービスには、データベースが存在する同じ仮想クラウド・ネットワーク(VCN)内のプライベート・サブネットが必要です。プライベート・サブネットには、データベースとリカバリ・サービス間のバックアップ・ネットワークを制御するためのセキュリティ・ルールが含まれている必要があります。

データベースVCNのリカバリ・サービス・サブネットに関する推奨事項

  • データベースVCNには、リカバリ・サービスへのバックアップ用のプライベート・サブネットが1つ必要です。プライベート・サブネットは、データベースが存在する同じVCNに存在する必要があります。
  • データベースVCNで、リカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。詳細は、サブネットの作成を参照してください。
  • 推奨されるサブネット・サイズは、/24 (256 IPアドレス)です。

    リカバリ・サービスは、プライベート・エンドポイントをサポートするために必要な数の空きIPアドレスを動的に割り当てます。使用可能な空きIPアドレスの数に制限がある場合は、32個のIPアドレスを許可する最小の/27サブネット・サイズを使用します。

    新しいプライベート・サブネットを作成するか、データベースVCNで使用可能な既存のサブネット(推奨サイズの)を選択できます。

    Oracle Exadata Database Service on Dedicated Infrastructureの場合、バックアップ・サブネットはデフォルトでリカバリ・サービス操作に使用されます。Oracle Base Database Serviceの場合、データベース・サブネットはリカバリ・サービスへのバックアップにも使用されます。

  • Autonomous Recovery Serviceへの自動バックアップを有効にすると、サービスはプライベート・サブネットをリカバリ・サービス・サブネットとして自動的に登録します。自動的に登録されたリカバリ・サービス・サブネットを使用するか、独自のリカバリ・サービス・サブネットを登録できます。

    ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを定義した場合は、リカバリ・サービス・サブネットを登録し、NSG (最大5)をリカバリ・サービス・サブネットに関連付ける必要があります。

    Oracle Multicloudデータベースの場合、NSGを関連付けてリカバリ・サービス・サブネットを登録する必要があります。

    詳細は、リカバリ・サービス・サブネットの登録を参照してください。

  • リカバリ・サービス・サブネットに使用可能なIPアドレスの数が不足している場合、新しいデータベースを追加しようとすると、リカバリ・サービスによってアラート・メッセージが発行されます。このシナリオでは、複数のサブネットをリカバリ・サービス・サブネットに関連付けることで、IPアドレスを追加できます。
  • Oracle Cloudデータベースは、リカバリ・サービスで使用されているものと同じプライベート・サブネット、または同じVCN内の別のサブネットに存在できます。
ノート

Oracleでは、リカバリ・サービスへのバックアップにプライベート・サブネットを使用することをお薦めします。ただし、パブリック・サブネットを使用することは可能です。

リカバリ・サービス・サブネットのセキュリティ・ルールの実装

データベースVCNには、データベースとリカバリ・サービス間のバックアップ・トラフィックを許可するセキュリティ・ルールが必要です。

リカバリ・サービス・サブネットのセキュリティ・ルールには、宛先ポート8005および2484を許可するステートフル・イングレス・ルールが含まれている必要があります。

次のネットワーキング・サービス機能を使用して、セキュリティ・ルールを実装します。
  • セキュリティ・リスト

    セキュリティ・リストを使用すると、サブネット・レベルでセキュリティ・ルールを追加できます。

    データベースVCNで、リカバリ・サービス・サブネットに使用されるセキュリティ・リストを選択し、宛先ポート8005および2484を許可するイングレス・ルールを追加します。

  • ネットワーク・セキュリティ・グループ(NSG)
    ネットワーク・セキュリティ・グループ(NSG)を使用すると、VCN内の個々のVNICに適用されるセキュリティ・ルールをきめ細かく制御できます。リカバリ・サービスでは、NSGを使用してセキュリティ・ルールを構成するために次のオプションがサポートされています:
    • ポート2484および8005を許可するエグレス・ルールを使用して、データベースVNICに1つのNSGを作成します。ポート2484および8005を許可するイングレス・ルールを使用して、リカバリ・サービスに別のNSGを追加します。この方法は、ネットワーク分離を実装する場合に使用します。
    • データベースVNICおよびリカバリ・サービスに対して単一のNSG (エグレス・ルールおよびイングレス・ルールを使用)を作成および使用します。
ノート

  • ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、またはデータベースVCNがサブネット間のネットワーク・トラフィックを制限する場合は、ポート2484および8005のエグレス・ルールをデータベースNSGまたはサブネットから作成するリカバリ・サービスNSGまたはサブネットに追加してください。
  • セキュリティ・ルールを実装するNSGを作成した場合は、リカバリ・サービスNSGをリカバリ・サービス・サブネットに関連付ける必要もあります。詳細は、リカバリ・サービス・サブネットの登録を参照してください。
  • データベースVCN内にセキュリティ・リストおよびNSGを構成した場合、NSGで定義されたルールは、セキュリティ・リストで定義されたルールよりも優先されます。

詳細は、セキュリティ・リストとネットワーク・セキュリティ・グループの比較を参照してください。

サブネットを構成するためのネットワーキング・サービス権限の確認

データベースVCNにサブネットを作成し、リカバリ・サービスのセキュリティ・ルールを割り当てるには、次のネットワーキング・サービス権限が必要です。

表2-8プライベート・サブネットの作成およびリカバリ・サービスのセキュリティ・ルールの構成に必要なネットワーキング・サービス権限

操作 必要なIAMポリシー

データベースVCN内のプライベート・サブネットの構成
  • VCNが存在するコンパートメントに対するuse vcns
  • VCNが存在するコンパートメントに対するuse subnets
  • VCNが存在するコンパートメントに対するmanage private-ips
  • VCNが存在するコンパートメントに対するmanage vnics
  • データベースがプロビジョニングされているかプロビジョニングされる予定のコンパートメントのvnicを管理します

または、ネットワーク・コンポーネントへのより広範なアクセスを持つ指定されたグループを許可するポリシーを作成できます。

たとえば、このポリシーを使用して、NetworkAdminグループがテナンシ内の任意のコンパートメント内のすべてのネットワークを管理できるようにします。

例2-1ネットワーク管理者のポリシー

Allow group NetworkAdmin to manage virtual-network-family in tenancy

リカバリ・サービス・サブネットのサブネットワーク・サイズおよびセキュリティ・ルール

セキュリティ・ルールは、データベースとリカバリ・サービス間のバックアップ・トラフィックを許可するために必要です。

ノート

  • データベースVCNで、リカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。詳細は、「サブネットの作成」を参照してください。
  • Oracle Multicloudデータベースの場合、ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを構成する必要があります。NSGは、リカバリ・サービス・サブネットのトラフィックを制御し、宛先ポート8005および2484を許可するステートフル・イングレス・ルールを含める必要があります。

表2-9 リカバリ・サービス・サブネットのサブネット・サイズおよびセキュリティ・ルール

項目 要件

推奨サブネット・サイズ

/24 (256 IPアドレス)

使用可能な空きIPアドレスの数に制限がある場合は、32個のIPアドレスを許可する最小の/27サブネット・サイズを使用します。

一般的なイングレス・ルール1:

どこからでもHTTPSトラフィックを許可

このルールでは、Oracle Cloud Infrastructure Databaseからリカバリ・サービスへのバックアップ・トラフィックが許可されます。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: データベースが存在するVCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 8005

一般的なイングレス・ルール2:

任意の場所からのSQLNetトラフィックを許可

このルールでは、リカバリ・カタログ接続およびOracle Cloud Infrastructure Databaseからリカバリ・サービスへのリアルタイム・データ保護が許可されます。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: データベースが存在するVCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 2484
ノート

ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、またはデータベースVCNがサブネット間のネットワーク・トラフィックを制限する場合は、必ず、データベースNSGまたはサブネットのポート2484および8005のエグレス・ルールを、作成するリカバリ・サービスNSGまたはサブネットに追加してください。

データベースVCNでのリカバリ・サービス・サブネットの作成

OCIコンソールを使用して、データベース仮想クラウド・ネットワーク(VCN)のリカバリ・サービスのプライベート・サブネットを構成します。

ノート

Oracle Multicloudデータベースの場合、バックアップ・サブネットをリカバリ・サービス・サブネットとして登録してください。推奨されるサブネット・サイズは/24です。

リカバリ・サービスは、次のOracle Multicloudデータベース・サービスをサポートしています。
  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS

    ネットワーク・ポート2484および8005を使用すると、Oracle Database@AWSとリカバリ・サービス間のネットワーク接続が可能になります。既存のOCIテナンシで、ネットワーク・ポート2484および8005を開いてください。新しいOCIテナンシでは、Oracle Database@AWSに対して同じネットワーク・ポートがデフォルトで開かれます。

    Oracle Database@AWSリソースをリカバリ・サービスにオンボードすると、バックアップ・サブネットがリカバリ・サービス・サブネットとして自動的に登録されます。サービスによって自動的に登録されるデフォルトのリカバリ・サービス・サブネットを使用するか、独自のリカバリ・サービス・サブネットを登録できます。

  1. ナビゲーション・メニューで、「ネットワーキング」を選択し、「仮想クラウド・ネットワーク」を選択して「Virtual Cloud Networks」リスト・ページを表示します。
  2. データベースが存在するVCNを選択します。
  3. 次のステップを使用して、セキュリティ・リストを含むリカバリ・サービス・サブネットを作成します。ネットワーク・セキュリティ・グループを使用する場合は、ステップ4に進みます。
    1. 仮想クラウド・ネットワークの詳細ページで、「セキュリティ」タブを選択します。
    2. 「セキュリティ・リスト」で、VCNに使用されるセキュリティ・リストを選択します。
    3. セキュリティ・リストの詳細ページで、「セキュリティ・ルール」タブを選択します。
      宛先ポート8005および2484を許可するには、2つのイングレス・ルールを追加する必要があります。
    4. 「イングレス・ルールの追加」を選択し、次の詳細を追加して、任意の場所からのHTTPSトラフィックを許可するステートフル・イングレス・ルールを設定します:
      • コード・タイプ: CIDR
      • ソースCIDR: データベースが存在するVCNのCIDRを指定します。
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 8005
      • 説明: セキュリティ・ルールの管理に役立つイングレス・ルールの説明(オプション)を指定します。
    5. +Anotherイングレス・ルールを選択し、次の詳細を追加して、任意の場所からのSQLNetトラフィックを許可するステートフル・イングレス・ルールを設定します:
      • コード・タイプ: CIDR
      • ソースCIDR: データベースが存在するVCNのCIDRを指定します。
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 2484
      • 説明: セキュリティ・ルールの管理に役立つイングレス・ルールの説明(オプション)を指定します。
      ノート

      データベースVCNのリカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。詳細は、サブネットの作成を参照してください。
    6. 「イングレス・ルールの追加」を選択します。
    7. 仮想クラウド・ネットワーク・ページの詳細ページで、「サブネット」タブを選択し、「サブネットの作成」を選択します。
    8. プライベート・サブネットを作成するか、データベースVCNにすでに存在するプライベート・サブネットを選択します。Oracleでは、プライベート・サブネットのサブネット・サイズ/24 (256 IPアドレス)をお薦めします。
    9. サブネットの詳細ページで、「セキュリティ」タブを選択します。「セキュリティ・リスト」で、宛先ポート8005および2484を許可するイングレス・ルールを含むセキュリティ・リストを追加します。
      ノート

      データベースVCNがサブネット間のネットワーク・トラフィックを制限する場合は、必ずデータベース・サブネットから作成するリカバリ・サービス・サブネットにポート2484および8005のエグレス・ルールを追加してください。
  4. 次のステップを使用して、ネットワーク・セキュリティ・グループ(NSG)を含むリカバリ・サービス・サブネットを作成します。
    1. 仮想クラウド・ネットワークの詳細ページで、「セキュリティ」タブを選択し、「ネットワーク・セキュリティ・グループ」セクションに移動します。
    2. 「ネットワーク・セキュリティ・グループの作成」を選択します。
      NSGを使用してセキュリティ・ルールを構成するには、次のサポートされている方法のいずれかを使用します:
      • ネットワーク分離を実装するには、データベースVNICにNSGを1つ(ポート2484および8005を許可するエグレス・ルールを追加)作成し、リカバリ・サービスには別のNSGを作成します(ポート2484および8005を許可するイングレス・ルールを追加します)。
      • データベースVNICおよびリカバリ・サービスに対して単一のNSG (エグレスおよびイングレス・ルールを含む)を作成および使用します。
      「ネットワーク・セキュリティ・グループ」ページには、作成するNSGがリストされます。
    ノート

    追加の構成の詳細は、関連するOCI Database Serviceのドキュメントを参照してください。
ノート

  • OCIデータベースの場合、リカバリ・サービスはデフォルトのリカバリ・サービス・サブネットを自動的に登録します。

    デフォルトのリカバリ・サービス・サブネットを使用するか、独自のリカバリ・サービス・サブネットを登録できます。

  • NSGを使用してセキュリティ・ルールを実装している場合、またはターゲット・データベースがOracle Multicloudデータベースである場合、リカバリ・サービスNSGを追加してリカバリ・サービス・サブネットを登録する必要があります(最大5)。
  • Oracleでは、VCNごとに1つのリカバリ・サービス・サブネットのみを登録することをお薦めします。

リカバリ・サービス・サブネットの登録

リカバリ・サービス・サブネットを登録するには、この手順を使用します。

ノート

リカバリ・サービス・サブネットを登録する前に:

  • これらのネットワーク・ポートを開いて、リカバリ・サービスのセキュリティ・ルールを構成してください。
    • ポート2484 - リカバリ・サービスで使用されるRMANカタログへのSQL*Net接続を有効にします。
    • ポート8005 - データベースからリカバリ・サービスへのバックアップ・トラフィックを有効にします。
  • 「リカバリ・サービスの必須要件チェックリスト」で説明されている必須の前提条件を確認および確認していることを確認します。
  • データベースVCNのリカバリ・サービス操作にIPv4のみのサブネットを選択していることを確認します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。
  • OCIにデプロイされたOracle Databasesの場合、バックアップ・サブネットが推奨されるサブネット・サイズ(少なくとも12の空きIPアドレス)を満たすと、リカバリ・サービスは自動的にリカバリ・サービス・サブネットを登録します。リカバリ・サービスによって登録されたサブネットを置換する場合は、「リカバリ・サービス・サブネットのサブネットの追加または置換」で説明されているステップを使用します。
  • Oracle Multicloudデータベースの場合、ステップ8の説明に従って、バックアップ・サブネットをリカバリ・サービス・サブネットおよびNSGとして登録する必要があります。推奨されるサブネット・サイズは/24です。
    リカバリ・サービスは、次のOracle Multicloudデータベース・サービスをサポートしています。
    • Oracle Database@Azure
    • Oracle Database@Google Cloud
    • Oracle Database@AWS

      ネットワーク・ポート2484および8005を使用すると、Oracle Database@AWSとリカバリ・サービス間のネットワーク接続が可能になります。既存のOCIテナンシで、ネットワーク・ポート2484および8005を開いてください。新しいOCIテナンシでは、Oracle Database@AWSに対して同じネットワーク・ポートがデフォルトで開かれます。

      Oracle Database@AWSリソースをリカバリ・サービスにオンボードすると、サービスによってバックアップ・サブネットがリカバリ・サービス・サブネットとして自動的に登録されます。サービスによってすでに登録されているデフォルトのリカバリ・サービス・サブネットを使用するか、この項のステップを使用して独自のリカバリ・サービス・サブネットを登録できます。

    リカバリ・サービス・ネットワーク・セキュリティ・グループ(NSG)をリカバリ・サービス・サブネットに追加してください。
  • 複数の保護されたデータベースで、同じリカバリ・サービス・サブネットを使用できます。リカバリ・サービスのプライベート・エンドポイントをサポートするために必要な数のIPアドレスを使用できるようにするために、複数の保護されたデータベースで使用されるリカバリ・サービス・サブネットに複数のサブネットを割り当てることができます。
  1. 「リカバリ・サービス・サブネット」リスト・ページで、「リカバリ・サービス・サブネットの登録」を選択します。リスト・ページにアクセスする詳細なステップは、リカバリ・サービス・サブネットのリストを参照してください。
  2. リカバリ・サービス・サブネットの名前を入力します。「名前」フィールドに機密情報を入力しないでください。
  3. リカバリ・サービス・サブネットを作成するコンパートメントを確認します。必要に応じて、「コンパートメントに作成」フィールドを使用して、別のコンパートメントを選択します。
  4. 使用する仮想クラウド・ネットワーク(VCN)を含むコンパートメントを選択します。VCNは一度に1つのコンパートメントからのみ選択できます
  5. 「仮想クラウド・ネットワーク」を選択します。
  6. 「サブネット」で、次のオプションを選択します:
    1. 使用されるプライベート・サブネットを含むコンパートメントを選択します。
    2. 選択したVCNのリカバリ・サービス操作用に構成したサブネットを選択します。
  7. (オプション)「+Anotherサブネット」を選択して、「リカバリ・サービス」サブネットに追加のサブネットを割り当てます。
    1つのサブネットに、リカバリ・サービスのプライベート・エンドポイントをサポートするのに十分なIPアドレスが含まれていない場合は、複数のサブネットを割り当てることができます。
  8. 「拡張オプション」を展開して、次のオプションを構成します:
    • ネットワーク・セキュリティ・グループ

      データベースVCNでリカバリ・サービスのセキュリティ・ルールを実装するためにネットワーク・セキュリティ・グループ(NSG)を使用した場合、またはターゲット・データベースがOracle Multicloudデータベースである場合は、リカバリ・サービスNSGをリカバリ・サービス・サブネットに追加する必要があります。リカバリ・サービスNSGは、同じコンパートメントまたは別のコンパートメントに配置できます。ただし、NSGは、指定されたサブネットが属する同じVCNに属している必要があります。

      1. 「ネットワーク・セキュリティ・グループ」セクションで、「ネットワーク・セキュリティ・グループを使用してトラフィックを制御」を選択します。
      2. データベースVCNで作成したリカバリ・サービスNSGを選択します。
      3. 複数のNSGを関連付けるには、+Anotherネットワーク・セキュリティ・グループを選択します(最大5つ)。
      ノート

      Oracle Database@AzureOracle Database@Google CloudOracle Database@AWSなどのOracle Multicloudデータベースの場合、ネットワーク・セキュリティ・グループ(NSG)を関連付けることでリカバリ・サービス・サブネットを登録する必要があります。

    • タグ: (オプション)リソースに1つ以上のタグを追加します。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。後でタグを適用できます。

  9. 「Register」を選択します。
    ノート

    リカバリ・サービス・サブネットは、データベースVCNに属する少なくとも1つのサブネットに関連付けられている必要があります。
サブネットを置き換えるか、必要な数のプライベート・エンドポイントをサポートするためにサブネットをさらに追加できます。詳細は、「リカバリ・サービス・サブネットのサブネットの追加または置換」を参照してください。
既存のリカバリ・サービス・サブネットにNSGを追加するステップの詳細は、「NSGのリカバリ・サービス・サブネットへの関連付け」を参照してください。

リカバリ・サービス・リソースの管理方法

Oracle Cloud Infrastructure (OCI)では、様々な管理ユース・ケースに合せて提供される様々なインタフェースを使用して、リカバリ・サービス・リソースを作成および管理できます。

Interface 詳細情報

OCIコンソール

コンソールの使用

アプリケーション・プログラミング・インタフェース(API)

Oracle Database Autonomous Recovery Service API

コマンドライン・インタフェース(CLI)

CLIの使用