2 복구 서비스로 Oracle Database 온보딩

체크리스트를 사용하여 필수 요구사항을 검토하고 Oracle Cloud 데이터베이스 또는 Oracle Multicloud 데이터베이스를 복구 서비스에 온보딩할 계획입니다.

• 복구 서비스에 대한 필수 요구 사항 체크리스트
  이 체크리스트를 사용하여 Oracle Database에서 복구 서비스로 온보딩하기 위한 필수 필요 조건을 확인합니다.
• 복구 서비스에 대한 선택적 구성 점검 목록
  복구 서비스에 대해 이러한 추가 옵션을 구성하도록 선택할 수 있습니다.
• 복구 서비스 리소스 제한
  서비스 제한은 리소스에 설정된 할당량 또는 허용량입니다. 자율운영 복구 서비스는 보호된 데이터베이스 수 및 백업 스토리지 공간 활용률에 대한 최대 제한을 가집니다. 각 영역에 제한이 적용됩니다.
• OCI의 Oracle 데이터베이스에 대한 선택적 권한
  기본적으로 OCI의 Oracle 데이터베이스에는 복구 서비스에 액세스할 수 있는 권한이 지정됩니다. 이 서비스는 데이터베이스 VCN 내의 네트워크 리소스에 액세스할 수도 있습니다. 이 항목에 설명된 대로 OCI 데이터베이스에 대한 추가 및 선택적 권한을 지정하도록 선택할 수 있습니다.
• 복구 서비스를 사용하려면 Oracle Multicloud 데이터베이스에 필요한 권한
  백업에 복구 서비스를 사용하려면 Oracle Database@Azure 또는 Oracle Database@Google Cloud에 필요한 권한을 지정해야 합니다.
• 복구 서비스에 대한 네트워크 리소스 구성
  데이터베이스 VCN에서 복구 서비스 작업에 대한 기존 IPv4 전용 서브넷을 생성하거나 사용합니다. 데이터베이스와 복구 서비스 간의 백업 트래픽을 제어하는 보안 규칙을 정의합니다.
• 복구 서비스 서브넷 등록
  이 절차에 따라 복구 서비스 서브넷을 등록할 수 있습니다.
• 복구 서비스 리소스 관리 방법
  Oracle Cloud Infrastructure(OCI)에서는 다양한 관리 사용 사례에 맞게 제공되는 다양한 인터페이스를 사용하여 복구 서비스 리소스를 생성하고 관리할 수 있습니다.

복구 서비스에 대한 필수 요구사항 체크리스트

이 체크리스트를 사용하여 Oracle Database에서 복구 서비스로 온보딩하기 위한 필수 필요 조건을 확인합니다.

주:

서로 다른 두 백업 대상에 대한 운영 백업으로 인해 데이터 손실 시나리오가 발생할 수 있습니다. 따라서 복구 서비스에 대한 자동 백업을 사용으로 설정하기 전에 다른 저장 영역 대상에 대한 수동 백업 스크립트 및 프로세스를 사용 안함으로 설정해야 합니다.

표 2-1 복구 서비스로 데이터베이스 온보딩을 위한 필수 요구 사항

Check	태스크
복구 서비스에서 사용되는 포트	이러한 네트워크 포트를 열고 복구 서비스에 대한 보안 규칙을 구성해야 합니다. 2484 포트 - 복구 서비스에서 사용되는 RMAN 카탈로그에 대한 SQL*Net 연결을 사용으로 설정합니다. 포트 8005 - 데이터베이스에서 복구 서비스로의 백업 트래픽을 사용으로 설정합니다.
복구 서비스에 대한 보안 규칙	보안 규칙을 구성하려면 보안 목록 또는 네트워크 보안 그룹(NSG)을 사용합니다. OCI에 배치된 Oracle 데이터베이스에 대한 보안 규칙 OCI 데이터베이스의 경우 Oracle은 보안 목록을 사용하여 데이터베이스 VCN의 복구 서비스 서브넷에 대한 보안 규칙을 구현할 것을 권장합니다. Oracle Exadata Database Service on Dedicated Infrastructure의 경우 백업 서브넷이 기본 복구 서비스 서브넷으로 사용됩니다. Oracle Base Database Service의 경우 데이터베이스 서브넷이 기본 복구 서비스 서브넷으로 사용됩니다. 자세한 내용은 복구 서비스 서브넷에 대한 서브넷 크기 및 보안 규칙을 참조하십시오. Oracle Multicloud 데이터베이스에 대한 보안 규칙 Oracle Multicloud 데이터베이스의 경우 NSG(네트워크 보안 그룹)를 사용하여 보안 규칙을 정의하고 복구 서비스 서브넷을 등록하는 동안 NSG(최대 5개)를 연관시켜야 합니다.
대상 데이터베이스 호환성 레벨	19.0.0 이상으로 설정 대상 데이터베이스 호환성 레벨(COMPATIBLE 초기화 매개변수)이 19.0.0 이상으로 설정되어 있는지 확인합니다.
지원되는 Oracle Database 릴리스	자율운영 복구 서비스를 다음 릴리스와 함께 프로비저닝된 Oracle Cloud 데이터베이스 및 Oracle Multicloud 데이터베이스의 백업 대상으로 사용할 수 있습니다. Oracle Database 23ai(23.4) 이상 Oracle Database 21c Release 7(21.7) 이상 실시간 데이터 보호 기능을 사용하려면 데이터베이스를 Oracle Database 21c Release 8(21.8) 이상으로 프로비저닝해야 합니다. Oracle Database 19c Release 16(19.16) 이상 실시간 데이터 보호 기능을 사용하려면 데이터베이스를 Oracle Database 19c Release 18(19.18) 이상으로 프로비저닝해야 합니다. 정부 클라우드에서 복구 서비스를 지원하는 Oracle Database 릴리스 Oracle US Government Cloud에서 복구 서비스를 지원하는 Oracle Database 릴리스 Oracle US Defense Cloud에서 복구 서비스를 지원하는 Oracle Database 릴리스 영국 정부 클라우드에서 복구 서비스를 지원하는 Oracle Database 릴리스
복구 서비스 리소스 제한	복구 서비스 리소스 제한이 충분한지 확인하고 필요한 경우 서비스 제한 증가를 요청하십시오. Oracle Multicloud 데이터베이스의 경우 OCI 콘솔의 제한, 할당량 및 사용량 페이지에서 멀티클라우드 구독과 관련된 제한을 검토하고 조정해야 합니다. 주의: 멀티클라우드 구독을 선택하지 않으면 증가된 제한이 OCI 리소스에 적용됩니다. 자세한 내용은 복구 서비스 리소스 제한을 참조하십시오.
복구 서비스 IAM 정책	OCI의 Oracle 데이터베이스 기본적으로 OCI에 배포된 Oracle 데이터베이스에는 이미 백업을 위해 복구 서비스에 액세스할 수 있는 권한이 지정됩니다. tag namespace 정책과 같은 선택적 정책이나 복구 서비스 리소스를 관리하기 위해 특정 사용자 또는 그룹에 대한 액세스를 제한하는 정책을 지정할 수 있습니다. OCI의 Oracle Databases에 대한 선택적 권한을 참고하세요 Oracle Multicloud 데이터베이스 복구 서비스 정책 템플리트를 사용하여 Oracle Database@Azure 및 Oracle Database@Google Cloud에 대한 권한을 지정하여 백업에 복구 서비스를 사용합니다. 복구 서비스를 사용하기 위해 Oracle Multicloud 데이터베이스에 필요한 권한을 참조하십시오.
OCI의 Oracle Databases용 복구 서비스 서브넷	Oracle Exadata Database Service on Dedicated Infrastructure 및 Oracle Base Database Service와 같은 OCI 데이터베이스의 경우 자동 백업을 사용으로 설정하면 복구 서비스가 복구 서비스 서브넷을 자동으로 등록합니다. Oracle Exadata Database Service on Dedicated Infrastructure의 경우 복구 서비스는 자동으로 백업 서브넷을 기본 복구 서비스 서브넷으로 등록합니다. Oracle Base Database Service의 경우 복구 서비스는 자동으로 데이터베이스 서브넷을 기본 복구 서비스 서브넷으로 등록합니다. 다음 옵션 중 하나를 선택하십시오. 서비스에 의해 이미 등록된 기본 복구 서비스 서브넷을 사용합니다(권장). 자세한 내용은 보호된 데이터베이스의 복구 서비스 서브넷 세부 정보 가져오기를 참조하십시오. (선택 사항) 데이터베이스 VCN에 고유한 복구 서비스 서브넷을 생성합니다. 복구 서비스에는 데이터베이스가 상주하는 VCN(가상 클라우드 네트워크)과 동일한 IPv4 전용 서브넷이 필요합니다. 먼저 데이터베이스 VCN에 고유한 복구 서비스 서브넷을 생성한 다음 생성한 복구 서비스 서브넷에 보안 규칙을 할당합니다. 마지막으로 복구 서비스 서브넷 등록을 수행합니다. NSG(네트워크 보안 그룹)를 사용하여 보안 규칙을 정의한 경우 복구 서비스 서브넷에 NSG(최대 5개)를 추가해야 합니다.
Oracle Multicloud 데이터베이스에 대한 복구 서비스 서브넷입니다.	Oracle Database@Azure 및 Oracle Database@Google Cloud의 경우, NSG(네트워크 보안 그룹)를 연계하여 복구 서비스 서브넷으로 백업 서브넷을 등록해야 합니다. 권장되는 서브넷 크기는 /24입니다.

복구 서비스에 대한 선택적 구성 체크리스트

복구 서비스에 대해 이러한 추가 옵션을 구성하도록 선택할 수 있습니다.

표 2-2 복구 서비스에 대한 선택적 구성 점검 목록

Check	추가 정보
보호 정책 옵션	사용자정의 보호 정책 Oracle 정의 보호 정책을 사용하는 것 외에도 사용자 정의 보호 정책을 생성하고 필요한 보존 기간(최소 14일 ~ 최대 95일)을 정의할 수 있습니다. 백업 저장 영역 위치 선택 기본적으로 복구 서비스는 Oracle Cloud에 보호된 데이터베이스 및 관련 백업을 생성합니다. 선택적으로 Oracle Multicloud 데이터베이스(예: Oracle Database@Azure 및 Oracle Database@Google Cloud)에 대해 이 기본 동작을 무효화할 수 있습니다. 사용자 정의 보호 정책에 대해 데이터베이스와 동일한 클라우드 공급자에 백업 저장 옵션을 사용으로 설정하면 정책 연결 보호 데이터베이스 및 백업이 Oracle Database가 프로비전되는 동일한 클라우드 공급자에 저장됩니다. 자세한 내용은 멀티클라우드 Oracle Database 백업 지원을 참조하십시오. 보존 잠금을 사용으로 설정 보존 잠금은 보호된 데이터베이스 백업을 보호하기 위한 선택적 기능입니다. 자세한 내용은 Using Retention Lock to Protect Backups를 참조하십시오.
복구 서비스 리소스를 관리할 IAM 사용자 및 그룹	테넌시 관리자는 IAM 사용자 및 그룹을 생성하여 복구 서비스 관련 작업을 관리할 수 있습니다. 그런 다음 그룹에 복구 서비스 정책 문을 지정할 수 있습니다. 예를 들어, recoveryserviceadmin이라는 그룹을 생성한 다음 recoveryserviceadmin 그룹이 보호된 데이터베이스, 보호 정책 및 복구 서비스 서브넷을 관리할 수 있도록 허용하는 정책을 지정합니다. 그룹 생성 사용자 생성 그룹에 사용자를 추가하려면

복구 서비스 리소스 제한

서비스 한도는 리소스에 설정된 할당량 또는 허용량입니다. 자율운영 복구 서비스는 보호된 데이터베이스 수 및 백업 스토리지 공간 활용률에 대한 최대 제한을 가집니다. 각 영역에 제한이 적용됩니다.

표 2-3 자율운영 복구 서비스 리소스 제한

리소스	Oracle Universal 크레딧	Pay As You Go 또는 체험판
자율운영 복구 서비스 보호 데이터베이스 수	문의하기	문의하기
복구 기간에 사용된 자율운영 복구 서비스 공간(GB)	문의하기	문의하기

콘솔을 사용하여 현재 서비스 제한 및 사용량 정보를 검토하고 필요한 경우 리소스 제한 증가를 요청하십시오.

1. 탐색 메뉴에서 거버넌스 및 관리를 선택한 다음 테넌시 관리를 선택합니다.
2. 제한, 할당량 및 사용량을 선택합니다.
3. 서비스 목록에서 자율운영 복구 서비스를 선택합니다.
   현재 제한 및 사용 정보를 검토합니다.
4. 필요한 경우 서비스 리소스 제한 증가를 요청하십시오. Oracle Multicloud 데이터베이스의 경우 제한, 할당량 및 사용량 페이지에서 멀티클라우드 구독과 관련된 제한을 검토하고 조정해야 합니다.

   주의:

   멀티클라우드 구독을 선택하지 않으면 증가된 제한이 OCI 리소스에 적용됩니다.
5. (선택 사항) 구획 내의 리소스 사용률을 제어할 수도 있습니다. 자세한 내용은 할당량 정책 빠른 시작을 참조하십시오.

OCI의 Oracle 데이터베이스에 대한 선택적 권한

기본적으로 OCI의 Oracle 데이터베이스에는 복구 서비스에 액세스할 수 있는 권한이 지정됩니다. 이 서비스는 데이터베이스 VCN 내의 네트워크 리소스에 액세스할 수도 있습니다. 이 항목에 설명된 대로 OCI 데이터베이스에 대한 추가 및 선택적 권한을 지정하도록 선택할 수 있습니다.

주:

복구 서비스에는 Oracle Database@Azure 및 Oracle Database@Google Cloud에 대한 별도의 정책 템플리트가 포함됩니다. Oracle Multicloud 데이터베이스에 대한 복구 서비스를 구성하는 경우 이 섹션을 건너뛰고 복구 서비스를 사용하기 위해 Oracle Multicloud 데이터베이스에 필요한 권한으로 이동하십시오.

OCI 데이터베이스에 대한 선택적 권한을 지정하려면 다음과 같이 하십시오.

1. 정책 빌더에서 자율 복구 서비스를 정책 사용 사례로 선택합니다.
2. 정책 빌더의 수동 편집기를 사용하여 정책 템플리트를 선택하거나 정책 문을 추가합니다(표 2-4, 표 2-5 및 표 2-6 참조).

표 2-4 Autonomous Recovery Service 정책 템플리트로 모든 작업을 수행하는 기능의 추가 권한

정책 문	생성 위치	용도
Allow service database to manage tagnamespace in tenancy	루트 컴파트먼트	OCI 데이터베이스 서비스가 테넌시의 태그 네임스페이스에 액세스할 수 있도록 합니다. 이 권한을 지정하면 보호된 데이터베이스가 소스 데이터베이스에서 태그를 상속할 수 있습니다.
Allow group admin to manage recovery-service-family in tenancy	루트 컴파트먼트	지정된 그룹의 사용자가 모든 복구 서비스 리소스에 액세스할 수 있도록 합니다. 지정된 그룹에 속한 사용자는 보호된 데이터베이스, 보호 정책 및 복구 서비스 서브넷을 관리할 수 있습니다.

표 2-5 사용자가 Autonomous Recovery Service에서 보호 정책을 관리할 수 있음

정책 문	생성 위치	용도
Allow group {group name} to manage recovery-service-policy in compartment {location}	보호 정책을 소유하는 컴파트먼트입니다.	지정된 그룹의 모든 사용자가 복구 서비스에서 보호 정책을 생성, 업데이트 및 삭제할 수 있습니다.

이 예를 고려하십시오.

이 정책은 ABC 컴파트먼트에서 보호 정책을 생성, 업데이트 및 삭제할 수 있는 권한을 RecoveryServiceUser 그룹에 부여합니다.

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

사용자가 Autonomous Recovery Service 서브넷을 관리할 수 있음 정책 템플리트

표 2-6 사용자가 Autonomous Recovery Service 서브넷을 관리할 수 있음

정책 문	생성 위치	용도
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	복구 서비스 서브넷을 소유하는 컴파트먼트입니다.	지정된 그룹의 모든 사용자가 복구 서비스 서브넷을 생성, 업데이트 및 삭제할 수 있도록 합니다.

이 예를 고려하십시오.

이 정책은 ABC 컴파트먼트의 복구 서비스 서브넷을 관리할 수 있는 권한을 가진 RecoveryServiceAdmin 그룹에 부여합니다.

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

복구 서비스를 사용하려면 Oracle Multicloud 데이터베이스에 필요한 권한

복구 서비스를 백업에 사용하려면 Oracle Database@Azure 또는 Oracle Database@Google Cloud에 필요한 권한을 지정해야 합니다.

정책 빌더에서 자율운영 복구 서비스를 정책 사용 사례로 선택한 다음 Oracle Multicloud 데이터베이스와 관련된 정책 템플리트 중 하나를 선택합니다.

• Oracle Database@Azure가 백업을 위해 Autonomous Recovery Service를 사용할 수 있음
• Oracle Database@Google Cloud가 백업을 위해 Autonomous Recovery Service를 사용할 수 있음

Oracle Database@Azure가 백업을 위해 Autonomous Recovery Service를 사용할 수 있음

이 정책 템플리트에는 Oracle Database@Azure에서 백업에 복구 서비스를 사용하는 데 필요한 정책 문이 포함되어 있습니다.

Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy 
where target.subscription.serviceName = 'ORACLEDBATAZURE'

ORACLEDBATAZURE는 Oracle Database@Azure의 서비스 이름을 나타냅니다.

Oracle Database@Google Cloud가 백업을 위해 Autonomous Recovery Service를 사용할 수 있음

이 정책 템플리트에는 Oracle Database@Google Cloud에서 백업에 복구 서비스를 사용하는 데 필요한 정책 문이 포함되어 있습니다.

Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where 
target.subscription.serviceName = 'ORACLEDBATGOOGLE'

ORACLEDBATGOOGLE는 Oracle Database@Google Cloud의 서비스 이름을 나타냅니다.

Oracle Multicloud 데이터베이스 백업에 복구 서비스를 사용하는 방법에 대한 자세한 내용은 멀티클라우드 Oracle Database 백업 지원을 참조하십시오.

복구 서비스에 대한 네트워크 리소스 구성

데이터베이스 VCN에서 복구 서비스 작업에 대해 기존 IPv4 전용 서브넷을 생성하거나 사용합니다. 데이터베이스와 복구 서비스 간의 백업 트래픽을 제어하는 보안 규칙을 정의합니다.

주:

Oracle Database@Azure 및 Oracle Database@Google Cloud의 경우 복구 서비스 서브넷으로 백업 서브넷을 등록해야 합니다. 권장되는 서브넷 크기는 /24입니다.

• 복구 서비스 작업에 전용 서브넷 사용 정보
  복구 서비스를 사용하려면 데이터베이스가 상주하는 동일한 VCN(가상 클라우드 네트워크)에 전용 서브넷이 필요합니다. 전용 서브넷에는 데이터베이스와 복구 서비스 간의 백업 네트워크를 제어하는 보안 규칙이 포함되어야 합니다.
• 네트워킹 서비스 권한을 검토하여 서브넷 구성
  데이터베이스 VCN에서 서브넷을 생성하고 복구 서비스에 대한 보안 규칙을 지정하는 데 필요한 네트워킹 서비스 권한이 있는지 확인하십시오.
• 복구 서비스 서브넷에 대한 서브넷 크기 및 보안 규칙
  데이터베이스와 복구 서비스 간의 백업 트래픽을 허용하려면 보안 규칙이 필요합니다.
• 데이터베이스 VCN에서 복구 서비스 서브넷 생성
  OCI 콘솔을 사용하여 데이터베이스 VCN(가상 클라우드 네트워크)에서 복구 서비스에 대한 프라이빗 서브넷을 구성합니다.

복구 서비스 작업에 전용 서브넷 사용 정보

복구 서비스에는 데이터베이스가 상주하는 동일한 VCN(가상 클라우드 네트워크)에 전용 서브넷이 필요합니다. 전용 서브넷에는 데이터베이스와 복구 서비스 간의 백업 네트워크를 제어하는 보안 규칙이 포함되어야 합니다.

데이터베이스 VCN의 복구 서비스 서브넷에 대한 권장 사항

• 복구 서비스에 백업하려면 데이터베이스 VCN에 단일 전용 서브넷이 있어야 합니다. 프라이빗 서브넷은 데이터베이스가 상주하는 동일한 VCN에 상주해야 합니다.
• 데이터베이스 VCN에서 복구 서비스에 대해 IPv4 전용 서브넷을 선택합니다. IPv6 사용 서브넷은 복구 서비스가 IPv6 사용 서브넷 사용을 지원하지 않으므로 IPv6 사용 서브넷을 선택하지 마십시오. 자세한 내용은 서브넷 생성을(를) 참조하십시오.
• 권장 서브넷 크기는 /24(IP 주소 256개)입니다.

  복구 서비스는 프라이빗 끝점을 지원하는 데 필요한 사용 가능한 IP 주소 수를 동적으로 지정합니다. 사용 가능한 IP 주소 수에 제한이 있는 경우 32개의 IP 주소를 허용하는 최소 /27 서브넷 크기를 사용하십시오.

  새 프라이빗 서브넷을 생성하거나 데이터베이스 VCN에서 사용 가능한 기존 서브넷(권장되는 크기)을 선택할 수 있습니다.

  Oracle Exadata Database Service on Dedicated Infrastructure의 경우 기본적으로 백업 서브넷이 Recovery Service 작업에 사용됩니다. Oracle Base Database Service의 경우 데이터베이스 서브넷은 복구 서비스에 백업하는 데도 사용됩니다.

• 자율운영 복구 서비스에 대한 자동 백업을 사용으로 설정하면 서비스가 자동으로 프라이빗 서브넷을 복구 서비스 서브넷으로 등록합니다. 자동으로 등록된 복구 서비스 서브넷을 사용하거나 고유의 복구 서비스 서브넷을 등록할 수 있습니다.

  NSG(네트워크 보안 그룹)를 사용하여 보안 규칙을 정의한 경우 복구 서비스 서브넷을 등록하고 NSG(최대 5개)를 복구 서비스 서브넷과 연관시켜야 합니다.

  Oracle Multicloud 데이터베이스의 경우 NSG를 연관시켜 복구 서비스 서브넷을 등록해야 합니다.

  자세한 내용은 복구 서비스 서브넷 등록을 참조하십시오.

• 복구 서비스 서브넷에 사용 가능한 IP 주소 수가 부족한 경우 새 데이터베이스를 추가하려고 하면 복구 서비스가 경고 메시지를 표시합니다. 이 시나리오에서는 여러 서브넷을 복구 서비스 서브넷에 연결하여 IP 주소를 추가할 수 있습니다.
• Oracle Cloud 데이터베이스는 복구 서비스에서 사용하는 것과 동일한 전용 서브넷 또는 동일한 VCN 내의 다른 서브넷에 상주할 수 있습니다.

주:

Oracle은 복구 서비스에 백업할 전용 서브넷을 사용할 것을 권장합니다. 하지만 공용 서브넷을 사용할 수 있습니다.

복구 서비스 서브넷에 대한 보안 규칙 구현

데이터베이스 VCN에는 데이터베이스와 복구 서비스 간의 백업 트래픽을 허용하는 보안 규칙이 필요합니다.

복구 서비스 서브넷의 보안 규칙에는 대상 포트 8005 및 2484를 허용하기 위한 Stateful 수신 규칙이 포함되어야 합니다.

다음 네트워킹 서비스 기능을 사용하여 보안 규칙을 구현합니다.

• 보안 목록

  보안 목록을 사용하면 서브넷 레벨에서 보안 규칙을 추가할 수 있습니다.

  데이터베이스 VCN에서 복구 서비스 서브넷에 사용되는 보안 목록을 선택하고 수신 규칙을 추가하여 대상 포트 8005 및 2484를 허용합니다.

• NSG(네트워크 보안 그룹)
  NSG(네트워크 보안 그룹)를 사용하면 VCN의 개별 VNIC에 적용되는 보안 규칙을 세밀하게 제어할 수 있습니다. 복구 서비스는 NSG를 사용하여 보안 규칙을 구성하기 위해 다음 옵션을 지원합니다.

  • 송신 규칙으로 데이터베이스 VNIC에 대해 포트 2484 및 8005를 허용하는 NSG를 하나 만듭니다. 2484 및 8005 포트를 허용하는 수신 규칙과 함께 복구 서비스를 위한 별도의 NSG를 추가합니다. 네트워크 격리를 구현하려면 이 접근 방법을 사용합니다.
  • 데이터베이스 VNIC 및 복구 서비스에 대해 단일 NSG(송신 및 수신 규칙 포함)를 생성하고 사용합니다.

주:

• NSG(네트워크 보안 그룹)를 사용하여 보안 규칙을 구현하거나 데이터베이스 VCN이 서브넷 간 네트워크 트래픽을 제한하는 경우 데이터베이스 NSG 또는 서브넷에서 생성된 복구 서비스 NSG 또는 서브넷에 포트 2484 및 8005에 대한 송신 규칙을 추가해야 합니다.
• 보안 규칙을 구현하기 위해 NSG를 생성한 경우 복구 서비스 NSG를 복구 서비스 서브넷과 연결해야 합니다. 자세한 내용은 복구 서비스 서브넷 등록을 참조하십시오.
• 데이터베이스 VCN 내에 보안 목록 및 NSG를 구성한 경우 NSG에 정의된 규칙이 보안 목록에 정의된 규칙보다 우선합니다.

자세한 내용은 보안 목록 및 네트워크 보안 그룹 비교를 참조하십시오.

서브넷을 구성하기 위한 네트워킹 서비스 권한 검토

데이터베이스 VCN에서 서브넷을 생성하고 복구 서비스에 대한 보안 규칙을 지정하는 데 필요한 네트워킹 서비스 권한이 있는지 확인하십시오.

표 2-7 전용 서브넷을 만들고 복구 서비스에 대한 보안 규칙을 구성하는 데 필요한 네트워킹 서비스 권한

연산	필요한 IAM 정책
데이터베이스 VCN에서 전용(private) 서브넷 구성	VCN이 있는 컴파트먼트의 경우 use vcns VCN이 있는 컴파트먼트의 경우 use subnets VCN이 있는 컴파트먼트의 경우 manage private-ips VCN이 있는 컴파트먼트의 경우 manage vnics 데이터베이스가 프로비전되거나 프로비전될 컴파트먼트에 대한 VNIC 관리

또는 네트워킹 구성 요소에 대한 광범위한 액세스를 통해 지정된 그룹을 허용하는 정책을 만들 수 있습니다.

예를 들어, NetworkAdmin 그룹이 테넌시의 모든 컴파트먼트에 있는 모든 네트워크를 관리하도록 허용하려면 이 정책을 사용합니다.

예 2-1 네트워크 관리자 정책

Allow group NetworkAdmin to manage virtual-network-family in tenancy

복구 서비스 서브넷에 대한 서브넷 크기 및 보안 규칙

데이터베이스와 복구 서비스 간의 백업 트래픽을 허용하려면 보안 규칙이 필요합니다.

주:

• 데이터베이스 VCN에서 복구 서비스에 대해 IPv4 전용 서브넷을 선택합니다. IPv6 사용 서브넷은 복구 서비스가 IPv6 사용 서브넷 사용을 지원하지 않으므로 IPv6 사용 서브넷을 선택하지 마십시오. 자세한 내용은 서브넷 생성을(를) 참조하십시오.
• Oracle Multicloud 데이터베이스의 경우 NSG(네트워크 보안 그룹)를 사용하여 보안 규칙을 구성해야 합니다. NSG는 복구 서비스 서브넷의 트래픽을 제어하며 대상 포트 8005 및 2484를 허용하려면 상태 저장 수신 규칙을 포함해야 합니다.

표 2-8 복구 서비스 서브넷에 대한 서브넷 크기 및 보안 규칙

항목	요구사항
권장 서브넷 크기	/24 (256 IP 주소) 사용 가능한 IP 주소 수에 제한이 있는 경우 32개의 IP 주소를 허용하는 최소 /27 서브넷 크기를 사용하십시오.
일반 수신 규칙 1: 어디서나 HTTPS 트래픽 허용	이 규칙은 Oracle Cloud Infrastructure Database에서 복구 서비스로의 백업 트래픽을 허용합니다. Stateless: 아니오(모든 규칙은 Stateful 상태여야 함) 소스 유형: CIDR 소스 CIDR: 데이터베이스가 상주하는 VCN의 CIDR입니다. IP 프로토콜: TCP 소스 포트 범위: 모두 대상 포트 범위: 8005
일반 수신 규칙 2: 어디서나 SQLNet 트래픽 허용	이 규칙을 사용하면 Oracle Cloud Infrastructure Database에서 Recovery Service로 복구 카탈로그 연결 및 실시간 데이터 보호를 수행할 수 있습니다. Stateless: 아니오(모든 규칙은 Stateful 상태여야 함) 소스 유형: CIDR 소스 CIDR: 데이터베이스가 상주하는 VCN의 CIDR입니다. IP 프로토콜: TCP 소스 포트 범위: 모두 대상 포트 범위: 2484

주:

NSG(네트워크 보안 그룹)를 사용하여 보안 규칙을 구현하거나 데이터베이스 VCN이 서브넷 간의 네트워크 트래픽을 제한하는 경우, 포트 2484 및 8005에 대한 송신 규칙을 데이터베이스 NSG 또는 서브넷에서 생성한 복구 서비스 NSG 또는 서브넷에 추가해야 합니다.

데이터베이스 VCN에서 복구 서비스 서브넷 생성

OCI 콘솔을 사용하여 데이터베이스 VCN(가상 클라우드 네트워크)에서 복구 서비스에 대한 프라이빗 서브넷을 구성합니다.

주:

Oracle Database@Azure 및 Oracle Database@Google Cloud의 경우 복구 서비스 서브넷으로 백업 서브넷을 등록해야 합니다. 권장되는 서브넷 크기는 /24입니다.

1. 탐색 메뉴에서 네트워킹을 선택한 다음 가상 클라우드 네트워크를 선택하여 가상 클라우드 네트워크 목록 페이지를 표시합니다.
2. 데이터베이스가 상주하는 VCN을 선택합니다.
3. 이 단계를 사용하여 보안 목록이 있는 복구 서비스 서브넷을 생성합니다. 네트워크 보안 그룹을 사용하려면 4단계로 이동합니다.
   1. 가상 클라우드 네트워크에 대한 세부정보 페이지에서 보안 탭을 선택합니다.
   2. 보안 목록에서 VCN에 사용되는 보안 목록을 선택합니다.
   3. 보안 목록에 대한 세부정보 페이지에서 보안 규칙 탭을 선택합니다.
      대상 포트 8005 및 2484를 허용하려면 두 개의 수신 규칙을 추가해야 합니다.
   4. 수신 규칙 추가를 선택하고 해당 세부정보를 추가하여 어디에서든 HTTPS 트래픽을 허용하는 상태 저장 수신 규칙을 설정합니다.
      • 소스 유형: CIDR
      • 소스 CIDR: 데이터베이스가 상주하는 VCN의 CIDR을 지정합니다.
      • IP 프로토콜: TCP
      • 소스 포트 범위: 모두
      • 대상 포트 범위: 8005
      • 설명: 보안 규칙을 관리하는 데 도움이 되는 수신 규칙에 대한 선택적 설명을 지정합니다.
   5. +Another 수신 규칙을 선택하고 해당 세부정보를 추가하여 어디에서든 SQLNet 트래픽을 허용하는 상태 저장 수신 규칙을 설정합니다.
      • 소스 유형: CIDR
      • 소스 CIDR: 데이터베이스가 상주하는 VCN의 CIDR을 지정합니다.
      • IP 프로토콜: TCP
      • 소스 포트 범위: 모두
      • 대상 포트 범위: 2484.
      • 설명: 보안 규칙을 관리하는 데 도움이 되는 수신 규칙에 대한 선택적 설명을 지정합니다.

      주:

      데이터베이스 VCN에서 복구 서비스에 대해 IPv4 전용 서브넷을 선택합니다. IPv6 사용 서브넷은 복구 서비스가 IPv6 사용 서브넷 사용을 지원하지 않으므로 IPv6 사용 서브넷을 선택하지 마십시오. 자세한 내용은 서브넷 생성을(를) 참조하십시오.
      자세한 내용은 복구 서비스 서브넷에 대한 서브넷 크기 및 보안 규칙을 참조하십시오.
   6. 수신 규칙 추가를 선택합니다.
   7. 가상 클라우드 네트워크 페이지의 세부정보 페이지에서 서브넷 탭을 선택한 다음 서브넷 생성을 선택합니다.
   8. 프라이빗 서브넷을 생성하거나 데이터베이스 VCN에 이미 존재하는 프라이빗 서브넷을 선택하십시오. Oracle은 프라이빗 서브넷에 대해 /24(256개 IP 주소)의 서브넷 크기를 권장합니다.
   9. 서브넷의 세부정보 페이지에서 보안 탭을 선택합니다. 보안 목록에서 대상 포트 8005 및 2484를 허용하는 수신 규칙이 포함된 보안 목록을 추가합니다.

      주:

      데이터베이스 VCN이 서브넷 간의 네트워크 트래픽을 제한하는 경우 데이터베이스 서브넷의 2484 및 8005 포트에 대한 송신 규칙을 생성한 복구 서비스 서브넷에 추가해야 합니다.
4. 다음 단계에 따라 NSG(네트워크 보안 그룹)로 복구 서비스 서브넷을 생성합니다.
   1. 가상 클라우드 네트워크에 대한 세부 정보 페이지에서 보안 탭을 선택하고 네트워크 보안 그룹 섹션으로 이동합니다.
   2. 네트워크 보안 그룹 생성을 선택합니다.
      NSG를 사용하여 보안 규칙을 구성하려면 다음 지원 방법 중 하나를 사용합니다.

      • 네트워크 격리를 구현하려면 데이터베이스 VNIC에 대해 하나의 NSG를 만들고(포트 2484 및 8005를 허용하도록 송신 규칙 추가) 복구 서비스에 대해 별도의 NSG를 만듭니다(포트 2484 및 8005를 허용하도록 수신 규칙 추가).
      • 데이터베이스 VNIC 및 복구 서비스에 대해 단일 NSG(송신 및 수신 규칙 포함)를 생성하고 사용합니다.
      Network Security Group(네트워크 보안 그룹) 페이지에는 만든 NSG가 나열됩니다.

   주:

   추가 구성에 대한 자세한 내용은 관련 OCI Database Service 설명서를 참조하십시오.

주:

• OCI 데이터베이스의 경우 복구 서비스가 자동으로 기본 복구 서비스 서브넷을 등록합니다.

  기본 복구 서비스 서브넷을 사용하거나 고유한 복구 서비스 서브넷을 등록할 수 있습니다.

• NSG를 사용하여 보안 규칙을 구현했거나 대상 데이터베이스가 Oracle Multicloud 데이터베이스인 경우 복구 서비스 NSG(최대 5개)를 추가하여 복구 서비스 서브넷을 등록해야 합니다.
• Oracle은 VCN당 단일 복구 서비스 서브넷만 등록할 것을 권장합니다.

복구 서비스 서브넷 등록

다음 절차에 따라 복구 서비스 서브넷을 등록할 수 있습니다.

주:

복구 서비스 서브넷을 등록하기 전에 다음을 수행합니다.

• 이러한 네트워크 포트를 열고 복구 서비스에 대한 보안 규칙을 구성해야 합니다.
  • 포트 2484 - 복구 서비스에서 사용되는 RMAN 카탈로그에 대한 SQL*Net 연결을 사용으로 설정합니다.
  • 포트 8005 - 데이터베이스에서 복구 서비스로의 백업 트래픽을 사용으로 설정합니다.
• Mandatory Requirements Checklist for Recovery Service에 설명된 필수 선행 조건을 검토하고 확인했는지 확인합니다.
• 데이터베이스 VCN에서 복구 서비스 작업에 대해 IPv4 전용 서브넷을 선택했는지 확인합니다. 복구 서비스가 IPv6 사용 서브넷 사용을 지원하지 않으므로 IPv6 사용 서브넷을 선택하지 마십시오.
• OCI에 배치된 Oracle 데이터베이스의 경우 백업 서브넷이 권장 서브넷 크기(최소 12개의 사용 가능한 IP 주소)를 충족하면 복구 서비스가 자동으로 복구 서비스 서브넷을 등록합니다. 복구 서비스에서 등록한 서브넷을 바꾸려면 복구 서비스 서브넷에 대한 서브넷 추가 또는 바꾸기에 설명된 단계를 사용합니다.
• Oracle Database@Azure 및 Oracle Database@Google Cloud의 경우 네트워크 보안 그룹(NSG)을 연계하여 복구 서비스 서브넷을 등록해야 합니다.
• 보호된 여러 데이터베이스가 동일한 복구 서비스 서브넷을 사용할 수 있습니다. 복구 서비스 프라이빗 끝점을 지원하는 데 필요한 수의 IP 주소를 사용할 수 있도록 하려면 둘 이상의 보호된 데이터베이스에서 사용되는 복구 서비스 서브넷에 여러 서브넷을 지정할 수 있습니다.

1. 복구 서비스 서브넷 목록 페이지에서 복구 서비스 서브넷 등록을 선택합니다. 목록 페이지에 액세스하는 자세한 단계는 복구 서비스 서브넷 나열을 참조하십시오.
2. 복구 서비스 서브넷의 이름을 입력합니다. 이름 필드에 기밀 정보를 입력하지 마십시오.
3. 복구 서비스 서브넷을 생성할 컴파트먼트를 확인합니다. 필요한 경우 컴파트먼트에 생성 필드를 사용하여 다른 컴파트먼트를 선택합니다.
4. 사용할 VCN(가상 클라우드 네트워크)이 포함된 구획을 선택합니다. 한 번에 하나의 컴파트먼트에서만 VCN을 선택할 수 있습니다.
5. 가상 클라우드 네트워크를 선택합니다.
6. 서브넷에서 다음 옵션을 선택합니다.
   1. 사용할 프라이빗 서브넷을 포함하는 구획을 선택합니다.
   2. 선택한 VCN에서 복구 서비스 작업에 대해 구성한 서브넷을 선택합니다.
7. (선택 사항) +Another 서브넷을 선택하여 복구 서비스 서브넷에 추가 서브넷을 지정합니다.
   단일 서브넷에 복구 서비스 프라이빗 끝점을 지원할 만큼 충분한 IP 주소가 없는 경우 여러 서브넷을 지정할 수 있습니다.
   자세한 내용은 복구 서비스 작업에 전용 서브넷 사용 정보를 참조하십시오.
8. 고급 옵션을 확장하여 다음 옵션을 구성합니다.
   • 네트워크 보안 그룹

     NSG(네트워크 보안 그룹)를 사용하여 데이터베이스 VCN에서 복구 서비스에 대한 보안 규칙을 구현했거나 대상 데이터베이스가 Oracle Multicloud 데이터베이스인 경우 복구 서비스 NSG를 복구 서비스 서브넷에 추가해야 합니다. 복구 서비스 NSG는 동일한 구획 또는 다른 구획에 상주할 수 있습니다. 그러나 NSG는 지정된 서브넷이 속한 동일한 VCN에 속해야 합니다.

     1. 네트워크 보안 그룹 섹션에서 네트워크 보안 그룹을 사용하여 트래픽 제어를 선택합니다.
     2. 데이터베이스 VCN에서 생성한 복구 서비스 NSG를 선택합니다.
     3. 여러 NSG(최대 5개)를 연관시키려면 +Another 네트워크 보안 그룹을 선택합니다.

     주:

     Oracle Database@Azure 및 Oracle Database@Google Cloud의 경우 네트워크 보안 그룹(NSG)을 연계하여 복구 서비스 서브넷을 등록해야 합니다.

   • 태그: (선택 사항) 리소스에 하나 이상의 태그를 추가합니다. 리소스 생성 권한이 있으면 해당 리소스에 자유 형식 태그를 적용할 권한도 가집니다. 정의된 태그를 적용하려면 태그 네임스페이스를 사용할 수 있는 권한이 있어야 합니다. 태그 지정에 대한 자세한 내용은 리소스 태그를 참조하십시오. 태그를 적용할지 여부가 확실하지 않으면 이 옵션을 건너뛰거나 관리자에게 문의하십시오. 나중에 태그를 적용할 수 있습니다.

9. 등록을 선택합니다.

   주:

   복구 서비스 서브넷은 데이터베이스 VCN에 속한 하나 이상의 서브넷과 연관되어야 합니다.

서브넷을 바꾸거나 필요한 수의 프라이빗 끝점을 지원하는 서브넷을 더 추가할 수 있습니다. 자세한 내용은 복구 서비스 서브넷에 대한 서브넷 추가 또는 교체를 참조하십시오.

기존 복구 서비스 서브넷에 NSG를 추가하는 자세한 단계는 복구 서비스 서브넷에 NSG 연결을 참조하십시오.

복구 서비스 리소스를 관리하는 방법

OCI(Oracle Cloud Infrastructure)에서는 다양한 관리 사용 사례에 맞게 제공되는 다양한 인터페이스를 사용하여 복구 서비스 리소스를 생성하고 관리할 수 있습니다.

인터페이스	추가 정보
OCI 콘솔	Console 사용
애플리케이션 프로그래밍 인터페이스(API)	Oracle Database Autonomous Recovery Service API
명령행 인터페이스(CLI)	CLI 사용