リカバリ・サービスの構成

この記事では、Oracle Base Database Serviceで使用するOracle Database Autonomous Recovery Serviceの構成について説明します。

Oracle Database Autonomous Recovery Serviceは、Oracle Cloud Infrastructure(OCI)データベース向けのフルマネージドのスタンドアロンおよび一元化されたクラウド・バックアップ・ソリューションです。

リカバリ・サービスの詳細は、Oracle Database Autonomous Recovery Serviceについてを参照してください。

リカバリ・サービスおよび関連リソースへのアクセスを許可するポリシーの割当て

サポートされているOCIデータベース・サービスがデータ保護にリカバリ・サービスを使用できるように、ポリシー・ステートメントを割り当てます。

コンソールで、ポリシー・ビルダーを使用して、テナンシでリカバリ・サービスを使用するために必要なポリシーをすばやく割り当てます。ポリシー・ビルダーで、「ポリシー・ユース・ケース」として「Autonomous Recovery Service」を選択し、次の事前定義済ポリシー・テンプレートを選択します:

  • 自律型リカバリ・サービスですべてを行う機能
  • ユーザーに自律型リカバリ・サービスで保護ポリシーを管理させる
  • ユーザーに自律型リカバリ・サービス・サブネットを管理させる

自律型リカバリ・サービスですべてを行う機能

自律型リカバリ・サービスを使用してすべての操作を実行する機能ポリシー・テンプレートには、サポートされているデータベース・サービスがリカバリ・サービスを使用する権限を提供するために必要なすべてのポリシー・ステートメントと、リカバリ・サービスがネットワーク・リソースを使用してVCN内のデータベースにアクセスするために必要なすべてのポリシー・ステートメントが含まれます。

ポリシー・テンプレートを選択するか、ポリシー・ビルダーの手動エディタを使用してこれらのポリシー・ステートメントを追加できます。

表- リカバリ・サービスの使用に必要なポリシー・ステートメント

ポリシー・ステートメント 作成 目 的
Allow service database to manage recovery-service-family in tenancy ルート・コンパートメント OCI Databaseサービスが、テナンシ内の保護されたデータベース、保護ポリシーおよびリカバリ・サービス・サブネットにアクセスできるようにします。
Allow service database to manage tagnamespace in tenancy ルート・コンパートメント OCIデータベース・サービスがテナンシのタグ・ネームスペースにアクセスできるようにします。
Allow service rcs to manage recovery-service-family in tenancy ルート・コンパートメント リカバリ・サービスが、テナンシ内の保護されたデータベース、リカバリ・サービス・サブネットおよび保護ポリシーにアクセスして管理できるようにします。
Allow service rcs to manage virtual-network-family in tenancy ルート・コンパートメント リカバリ・サービスが、テナンシ内の各データベースVCNのプライベート・サブネットにアクセスして管理できるようにします。プライベート・サブネットは、データベースとリカバリ・サービス間のバックアップのネットワーク・パスを定義します。
Allow group admin to manage recovery-service-family in tenancy ルート・コンパートメント 指定したグループのユーザーがすべてのリカバリ・サービス・リソースにアクセスできるようにします。指定したグループに属するユーザーは、保護されたデータベース、保護ポリシーおよびリカバリ・サービス・サブネットを管理できます。

ユーザーに自律型リカバリ・サービスで保護ポリシーを管理させる

ユーザーによる自律型リカバリ・サービスでの保護ポリシーの管理ポリシー・テンプレートは、リカバリ・サービスで保護ポリシー・リソースを作成、更新および削除する権限を指定されたグループのユーザーに付与します。

ポリシー・テンプレートを選択するか、ポリシー・ビルダーの手動エディタを使用してこのポリシー・ステートメントを追加できます。

表- 保護ポリシーを管理するためのポリシー・ステートメント

ポリシー・ステートメント 作成 目 的
Allow group {group name} to manage recovery-service-policy in compartment {location} 保護ポリシーを所有するコンパートメント。 指定したグループ内のすべてのユーザーが、リカバリ・サービスで保護ポリシーを作成、更新および削除できるようにします。

次に例を示します。このポリシーは、ABCコンパートメントで保護ポリシーを作成、更新および削除する権限を持つRecoveryServiceUserグループに付与します。

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

ユーザーに自律型リカバリ・サービス・サブネットを管理させる

ユーザーによるAutonomous Recovery Serviceサブネットの管理ポリシー・テンプレートは、指定されたグループのユーザーに、リカバリ・サービス・サブネット・リソースを作成、更新および削除する権限を付与します。

ポリシー・テンプレートを選択するか、ポリシー・ビルダーでこのポリシー・ステートメントを追加できます。

表- リカバリ・サービス・サブネットを管理するためのポリシー・ステートメント

ポリシー・ステートメント 作成 目 的
Allow Group {group name} to manage recovery-service-subnet in compartment {location} リカバリ・サービス・サブネットを所有するコンパートメント。 指定したグループ内のすべてのユーザーがリカバリ・サービス・サブネットを作成、更新および削除できるようにします。

次に例を示します。このポリシーは、ABCコンパートメント内のリカバリ・サービス・サブネットを管理する権限を持つRecoveryServiceAdminグループに付与します。

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

ポリシーの詳細は、ポリシーの管理を参照してください。

リカバリ・サービスのプライベート・サブネットの使用について

リカバリ・サービスは、データベースが存在する仮想クラウド・ネットワーク(VCN)内のプライベート・サブネットを使用します。プライベート・サブネットは、データベースとリカバリ・サービス間のバックアップのネットワーク・パスを定義します。

Oracleでは、データベースVCNに、リカバリ・サービスへのバックアップ専用の単一のプライベート・サブネットが必要です。Oracle Cloudデータベースは、Recovery Serviceによって使用されるのと同じプライベート・サブネット、または同じVCN内の別のサブネットに配置できます。

プライベート・サブネットを作成することも、データベースVCN内の既存のサブネットを使用することもできます。Oracleでは、/24 (256 IPアドレス)のサブネット・サイズを使用することをお薦めします。

ノート:

データベースVCNのリカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。

データベースVCNでは、データベースとリカバリ・サービス間のバックアップ・トラフィックを許可するセキュリティ・ルールが必要です。セキュリティ・ルールには、宛先ポート8005および2484を許可するステートフル・イングレス・ルールを含める必要があります。次のネットワーキング・サービス機能を使用して、セキュリティ・ルールを実装できます:

  • セキュリティ・リスト: セキュリティ・リストを使用すると、サブネット・レベルでセキュリティ・ルールを追加できます。データベースVCNで、リカバリ・サービス・サブネットに使用されるセキュリティ・リストを選択し、宛先ポート8005および2484を許可するイングレス・ルールを追加します。
  • ネットワーク・セキュリティ・グループ: ネットワーク・セキュリティ・グループ(NSG)を使用すると、VCN内の個々のVNICに適用されるセキュリティ・ルールをきめ細かく制御できます。リカバリ・サービスでは、NSGを使用してセキュリティ・ルールを構成する次のオプションがサポートされています:
    • ネットワーク分離を実装するには、データベースVNICにNSGを1つ(ポート2484および8005を許可するエグレス・ルールを追加)作成し、リカバリ・サービスには別のNSGを作成します(ポート2484および8005を許可するイングレス・ルールを追加します)。
    • データベースVNICおよびリカバリ・サービスに対して単一のNSG (エグレスおよびイングレス・ルールを含む)を作成および使用します。

ノート:

データベースVCN内にセキュリティ・リストおよびNSGを構成した場合、NSGで定義されたルールはセキュリティ・リストで定義されたルールよりも優先されます。

データベースVCNでプライベート・サブネットを作成した後、セキュリティ・ルールを割り当て、そのサブネットをリカバリ・サービスでリカバリ・サービス・サブネットとして登録します。セキュリティ・ルールを実装するためにNSGを作成した場合は、リカバリ・サービスNSGをリカバリ・サービス・サブネットに関連付けることも確認する必要があります。

ノート:

Oracleでは、バックアップにプライベート・サブネットを使用することをお薦めします。ただし、パブリック・サブネットを使用することは可能です。

リカバリ・サービス・サブネットのサブネット・サイズ要件およびセキュリティ・ルールの確認

セキュリティ・ルールは、データベースとリカバリ・サービス間のバックアップ・トラフィックを許可するために必要です。

ノート:

データベースVCNのリカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。

表- リカバリ・サービスで使用されるプライベート・サブネットのサブネット・サイズ要件およびイングレス・ルール

項目 要件
推奨サブネット・サイズ /24 (256 IPアドレス)
一般イングレス・ルール1: すべての場所からのHTTPSトラフィックの許可

このルールでは、OCIデータベースからリカバリ・サービスへのバックアップ・トラフィックを許可します。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: データベースが存在するVCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 8005
一般イングレス・ルール2: SQLNetの任意の場所からのトラフィックを許可する

このルールでは、リカバリ・カタログ接続およびOCIデータベースからリカバリ・サービスへのリアルタイム・データ保護が許可されます。

  • ステートレス: いいえ(すべてのルールはステートフルである必要があります)
  • ソース・タイプ: CIDR
  • ソースCIDR: データベースが存在するVCNのCIDR
  • IPプロトコル: TCP
  • ソース・ポート範囲: すべて
  • 宛先ポート範囲: 2484

ノート:

ネットワーク・セキュリティ・グループ(NSG)を使用してセキュリティ・ルールを実装する場合、またはデータベースVCNがサブネット間のネットワーク・トラフィックを制限する場合は、データベースNSGまたはサブネットから作成したリカバリ・サービスNSGまたはサブネットに、ポート2484および8005のエグレス・ルールを必ず追加してください。

サブネットを構成するためのネットワーキング・サービス権限の確認

データベースVCNにサブネットを作成し、リカバリ・サービスのセキュリティ・ルールを割り当てるには、次のネットワーキング・サービス権限が必要です。

表- プライベート・サブネットの作成およびリカバリ・サービスのセキュリティ・ルールの構成に必要なネットワーキング・サービス権限

操作 必要なIAMポリシー
データベースVCN内のプライベート・サブネットの構成
  • VCNが存在するコンパートメントに対するuse vcns
  • VCNが存在するコンパートメントに対するuse subnets
  • VCNが存在するコンパートメントに対するmanage private-ips
  • VCNが存在するコンパートメントに対するmanage vnics
  • データベースがプロビジョニングされているかプロビジョニングされる予定のコンパートメントのvnicを管理します

または、ネットワーク・コンポーネントへのより広範なアクセスを持つ指定されたグループを許可するポリシーを作成できます。

たとえば、このポリシーを使用して、NetworkAdminグループがテナンシ内の任意のコンパートメント内のすべてのネットワークを管理できるようにします。

例- ネットワーク管理者のポリシー

Allow group NetworkAdmin to manage virtual-network-family in tenancy

データベースVCNでのリカバリ・サービス・サブネットの作成

OCIコンソールを使用して、データベース仮想クラウド・ネットワーク(VCN)のリカバリ・サービスのプライベート・サブネットを構成します。

  1. ナビゲーション・メニューから、「ネットワーキング」「仮想クラウド・ネットワーク」の順に選択します。

    VCNリスト・ページが開きます。選択したコンパートメント内のすべてのVCNsが表に表示されます。

  2. データベースが存在するVCNを選択します。
  3. セキュリティ・リストを含むリカバリ・サービス・サブネットを作成するには、次のステップを使用します。ネットワーク・セキュリティ・グループの使用を選択した場合は、このステップをスキップします。

    1. VCNの詳細ページで、「セキュリティ」タブを選択します。
    2. VCNに使用するセキュリティ・リストを選択します。宛先ポート8005および2484を許可するには、2つのイングレス・ルールを追加する必要があります。
    3. セキュリティ・リストの詳細ページで、「セキュリティ・ルール」タブを選択します。

      「イングレス・ルールの追加」を選択し、次の詳細を追加して、任意の場所からのHTTPSトラフィックを許可するステートフル・イングレス・ルールを設定します:

      • ソース・タイプ: CIDR
      • ソースCIDR: データベースが存在するVCNのCIDRを指定します。
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 8005
      • 説明: セキュリティ・ルールの管理に役立つイングレス・ルールの説明(オプション)を指定します。
    4. 「イングレス・ルールの追加」を選択し、次の詳細を追加して、任意の場所からのSQLNetトラフィックを許可するステートフル・イングレス・ルールを設定します:

      • ソース・タイプ: CIDR
      • ソースCIDR: データベースが存在するVCNのCIDRを指定します。
      • IPプロトコル: TCP
      • ソース・ポート範囲: すべて
      • 宛先ポート範囲: 2484
      • 説明: セキュリティ・ルールの管理に役立つイングレス・ルールの説明(オプション)を指定します。

      ノート:

      データベースVCNのリカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。
    5. VCNの詳細ページに戻り、「サブネット」タブを選択します。
    6. 「サブネットの作成」を選択します。
    7. プライベート・サブネットを作成するか、データベースVCNにすでに存在するプライベート・サブネットを選択します。Oracleでは、プライベート・サブネットのサブネット・サイズ/24 (256 IPアドレス)をお薦めします。
    8. サブネットの詳細ページで、「セキュリティ」タブを選択します。
    9. 「セキュリティ・リストの追加」を選択して、宛先ポート8005および2484を許可するイングレス・ルールを含むセキュリティ・リストを追加します。

      ノート:

      データベースVCNがサブネット間のネットワーク・トラフィックを制限する場合は、データベース・サブネットから作成したリカバリ・サービス・サブネットにポート2484および8005のエグレス・ルールを追加してください。
  4. 次のステップを使用して、ネットワーク・セキュリティ・グループ(NSG)を含むリカバリ・サービス・サブネットを作成します。

    1. VCNの詳細ページに戻り、「サブネット」タブを選択します。
    2. 「ネットワーク・セキュリティ・グループ」セクションで、「ネットワーク・セキュリティ・グループの作成」を選択します。
    3. 次のサポートされている方法のいずれかを使用して、NSGを使用してセキュリティ・ルールを構成します:

      • ネットワーク分離を実装するには、データベースVNICにNSGを1つ(ポート2484および8005を許可するエグレス・ルールを追加)作成し、リカバリ・サービスには別のNSGを作成します(ポート2484および8005を許可するイングレス・ルールを追加します)。
      • データベースVNICおよびリカバリ・サービスに対して単一のNSG (エグレスおよびイングレス・ルールを含む)を作成および使用します。

      「ネットワーク・セキュリティ・グループ」ページには、作成するNSGがリストされます。

  5. データベースVCNにリカバリ・サービス・サブネットを作成したら、そのサブネットをリカバリ・サービス・サブネットとして登録します。Oracleでは、VCNごとに単一のリカバリ・サービス・サブネットを登録することをお薦めします。NSGを使用してセキュリティ・ルールを実装した場合は、リカバリ・サービスNSGもリカバリ・サービス・サブネットに追加する必要があります。

リカバリ・サービス・サブネットの登録

データベースVCNでリカバリ・サービスのプライベート・サブネットを作成した後、この手順を使用して、サブネットをリカバリ・サービスに登録します。

複数の保護されたデータベースで、同じリカバリ・サービス・サブネットを使用できます。リカバリ・サービス・プライベート・エンドポイントをサポートするために必要な数のIPアドレスが使用可能であることを確認するために、複数の保護されたデータベースで使用されるリカバリ・サービス・サブネットに複数のサブネットを割り当てることができます。

ノート:

データベースVCNのリカバリ・サービスのIPv4のみのサブネットを選択します。リカバリ・サービスではIPv6対応サブネットの使用がサポートされていないため、IPv6対応サブネットを選択しないでください。

リカバリ・サービス・サブネットを登録するには、次のステップを実行します。

  1. ナビゲーション・メニューから、「Oracle Database」をクリックし、「データベース・バックアップ」を選択します。
  2. 「リカバリ・サービスのサブネット」を選択します。

    「リカバリ・サービス・サブネット」リスト・ページが開きます。選択したコンパートメント内のすべてのリカバリ・サービス・サブネットが表に表示されます。

  3. 「リカバリ・サービス・サブネットの登録」を選択します。
  4. 「リカバリ・サービス・サブネットの登録」パネルで、次の詳細を入力します:
  5. 名前」フィールドで、リカバリ・サービス・サブネットの名前を入力します。
  6. 「コンパートメント」フィールドで、リカバリ・サービス・サブネットを作成するコンパートメントを選択します。
  7. 「仮想クラウド・ネットワーク」フィールドで、データベースVCNを選択します。別のコンパートメントに属するVCNを選択するには、「コンパートメント」を選択します。
  8. 「サブネット」フィールドで、データベースVCNのリカバリ・サービス操作用に構成したプライベート・サブネットを選択します。別のコンパートメントからプライベート・サブネットを選択するには、「コンパートメント」を選択します。
  9. (オプション)+Anotherサブネットをクリックして、追加のサブネットをリカバリ・サービス・サブネットに割り当てます。単一のサブネットにリカバリ・サービスのプライベート・エンドポイントをサポートするのに十分なIPアドレスが含まれていない場合は、複数のサブネットを割り当てることができます。
  10. 「拡張オプション」を展開して、次の追加機能を入力します:

    • ネットワーク・セキュリティ・グループ
    • タグ

    ネットワーク・セキュリティ・グループ(NSG)を使用してデータベースVCNのリカバリ・サービスのセキュリティ・ルールを実装した場合は、リカバリ・サービスNSGをリカバリ・サービス・サブネットに追加する必要があります。リカバリ・サービスNSGは、同じコンパートメントまたは別のコンパートメントに配置できます。ただし、NSGは、指定されたサブネットが属する同じVCNに属している必要があります。

    1. 「ネットワーク・セキュリティ・グループ」セクションで、「ネットワーク・セキュリティ・グループを使用してトラフィックを制御」を選択します。
    2. データベースVCNに作成したリカバリ・サービスNSGを選択します。
    3. +Anotherネットワーク・セキュリティ・グループを選択して、複数のNSGを関連付けます(最大5つ)。

    (オプション)「タグ・ネームスペース」フィールドでは、タグ・ネームスペースの追加または既存のタグ・ネームスペースによるコントロールのタグ付けを検討します。

  11. 「Register」を選択します。

サブネットを置き換えるか、サブネットをさらに追加して、必要な数のプライベート・エンドポイントをサポートできます。

既存のリカバリ・サービス・サブネットを更新するには、次のステップを使用します:

  1. リカバリ・サービス・サブネットの詳細ページで、「サブネット」タブを選択します。
  2. 「サブネットの追加」を選択し、追加するサブネットを選択します。
  3. 既存のサブネットを置換するには、「アクション」メニューを選択し、「削除」を選択します。その後、別のサブネットを追加できます。

ノート:

リカバリ・サービス・サブネットは、データベースVCNに属する少なくとも1つのサブネットに関連付けられている必要があります。

既存のリカバリ・サービス・サブネットのネットワーク・セキュリティ・グループ(NSG)を管理するには、次のステップを使用します:

  1. 「ネットワーク・セキュリティ・グループ」タブで、「ネットワーク・セキュリティ・グループを追加」を選択します。
  2. リカバリ・サービスのネットワーク・セキュリティ・グループを選択して追加します(最大5つ)。
  3. NSGを削除するには、リソースを選択し、「削除」を選択します。

リカバリ・サービス・サブネットがOracle Servicesと通信できることの確認

登録したリカバリ・サービス・サブネットは、リカバリ・サービスと通信する必要があります。

サービスにアクセスするには、プライベート・サブネットのルーティング表にOracle Services NetworkのすべてのIADサービスを含める必要があります。

データベースにTDEが完全に構成されていることの確認

リカバリ・サービスを使用する場合は、データベースを完全にTDE暗号化する必要があります。

クラウドに生まれた新しいデータベースの場合、これはすでに完了している必要があります。ただし、OCIでスタブ・データベースを作成し、オンプレミスまたは他の場所からOracle Database Cloud Serviceにデータベースを移行する場合、すべての基準を満たすとはかぎりません。これらのデータベースでは、リカバリ・サービスへのバックアップの前提条件を満たしていることを確認する必要があります。私はあなたがここで見つけることができるブログ投稿を持っています クエリで実行するために何をチェックすべきかを概説します。

次の3つの基準を満たす必要があります。

  • データベースでWALLET_ROOTを構成する必要があります。まだsqlnet.oraを使用している場合は、dbaascliを使用して、リカバリ・サービスを使用するすべてのデータベースにWALLET_ROOTを正しく設定する必要があります。既存のデータベースのwallet_root SPFILEパラメータを有効にするには、次を実行します。

    dbaascli tde enableWalletRoot

    ノート:

    sqlnet.oraでのENCRYPTION_WALLET_LOCATIONの設定はサポートされていないため、非推奨になります。
  • CDBおよびデータベース内のすべてのPDBに暗号化キーを設定する必要があります。
  • 最初のバックアップを実行する前に、すべての表領域をTDE暗号化する必要があります。

手動操作バックアップをオフにする

場合によっては、OCIユーザーが手動の操作バックアップを実行します。これらのバックアップは、標準ツールの外部で実行され、Point-in-Timeリカバリ(非KEEPバックアップ)をサポートします。

これらのタイプの操作バックアップを実行している場合は、この時点でオフにすることが重要です。2つの異なる場所に操作バックアップを実行すると、両方のバックアップで問題が発生し、データ損失シナリオが発生する可能性があります。したがって、自動バックアップを有効にする前に、他のストレージ保存先への手動バックアップ・スクリプトおよびプロセスを無効にする必要があります。

ノート:

オブジェクト・ストレージのバックアップにツールを使用し、リカバリ・サービスに切り替えると、ツールによってスイッチオーバーが自動化され、以前のすべてのバックアップが使用可能なままになります。