Configure Oracle Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure

Oracle Exadata Database Service on Dedicated Infrastructure용 Data Guard는 Oracle이 관리하는 키와 TDE(투명한 데이터 암호화)용 고객 관리 키를 지원합니다. Oracle 관리 키는 비밀번호 기반 전자 지갑을 사용하여 TDE 키를 저장 및 관리하는 반면, 고객 관리 키는 OCI Vault에서 TDE 키를 저장 및 관리할 수 있게 해줍니다. 기본적으로 Oracle Exadata Database Service on Dedicated Infrastructure는 Oracle 관리 키를 사용합니다.

보안 정책 및 동적 그룹 확인

데이터베이스에서 OCI Vault를 사용하여 고객 관리 키를 저장하는 경우 아래 단계에 따라 필요한 모든 보안 정책 및 동적 그룹이 올바르게 구성되었는지 확인해야 합니다. 데이터베이스에서 Oracle 관리 키를 사용하는 경우 이 섹션을 건너뛸 수 있습니다.

OCI 콘솔에서 기본 메뉴로 이동하고 ID 및 보안을 누릅니다.
동적 그룹을 누릅니다.
최신 테넌시에서 도메인, 동적 그룹 순으로 누릅니다.

다음과 유사한 규칙으로 동적 그룹이 구성되었는지 확인합니다.

{resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}

ID & 보안으로 이동한 다음 정책을 누릅니다.

다음 규칙을 사용하여 보안 정책이 존재하는지 확인합니다.

Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

OCI 저장소 복제 확인

두 영역 간에 Oracle Data Guard를 구성하고 데이터베이스에서 고객 관리 키를 사용하는 경우 두 영역 간에 Virtual Private Vault를 복제해야 합니다. 데이터베이스에서 Oracle 관리 키를 사용하는 경우 이 섹션을 건너뛸 수 있습니다. 다음 단계에서는 두 리전에서 가상 개인 자격 증명 모음이 복제되고 있는지 확인하는 방법에 대해 설명합니다.

OCI 메뉴로 이동하여 ID 및 보안을 누릅니다.
저장소를 누릅니다.
사용 가능한 저장소 목록에서 Data Guard 연관의 데이터베이스에 사용할 저장소에 대해 Virtual Private 열이 yes로 설정되었는지 확인합니다.
저장소가 아직 존재하지 않을 경우 저장소 생성을 누르고 저장소 이름을 제공합니다. 가상 프라이빗 저장소로 설정 옵션을 선택한 다음 저장소 생성을 누릅니다.
가상 프라이빗 저장소가 대기 데이터베이스가 생성될 영역으로 복제되는지 확인합니다.
1. OCI 메뉴로 이동하여 ID 및 보안을 선택합니다.
2. 저장소를 누릅니다.
3. Data Guard 연관의 데이터베이스에 사용할 저장소를 선택합니다.
  이 저장소에 대해 저장소 복제가 사용으로 설정된 경우 저장소 페이지에 복제 롤 및 복제 세부정보가 표시됩니다. 복제 정보가 표시되지 않으면 저장소가 복제되지 않습니다.
저장소를 다른 영역으로 복제하려면 저장소 복제를 누릅니다. 대기 데이터베이스가 구성될 영역을 선택한 다음 복제본 생성을 누릅니다.
저장소는 다른 영역으로 복제되고 몇 분 후 Data Guard 연관을 생성하는 데 사용할 수 있습니다.
기존 데이터베이스의 기존 키가 소스 저장소에서 복제본 저장소로 복제되었는지 확인합니다.
소스 저장소에서 새 데이터베이스에 대한 새 키를 생성하고 복제본 저장소에 복제되는지 확인합니다.

리전 내 구성 Oracle Data Guard

이 단계에서는 동일한 지역에서 Oracle Exadata Database Service on Dedicated Infrastructure 데이터베이스에 대해 Oracle Data Guard를 사용으로 설정하는 방법에 대해 설명합니다.

OCI 메뉴로 이동하고 Oracle Database를 누릅니다.
Click Oracle Exadata Database Service on Dedicated Infrastructure.
Oracle Exadata Database Service on Dedicated Infrastructure VM 클러스터가 구성된 컴파트먼트를 선택합니다.
Oracle Data Guard로 구성할 데이터베이스가 있는 VM 클러스터를 선택합니다.
데이터베이스 이름을 눌러 데이터베이스를 선택합니다.
리소스 아래에서 Data Guard 연관을 누릅니다.
대기 추가를 누릅니다. Add standby window가 열리고 데이터베이스 버전에 따라 표시되는 옵션이 결정됩니다. 데이터베이스 버전 11g 및 12c은 Data Guard 연관을 지원하지만 버전 19c 이상은 Data Guard 그룹을 지원합니다. Data Guard 연관을 구성할지 아니면 Data Guard 그룹을 구성할지 선택합니다.
Data Guard 옵션 구성:
- 피어 영역: 선택한 데이터베이스에 대한 영역이 기본적으로 표시됩니다. 이 영역은 Oracle Data Guard 구성에 사용합니다.
- 가용성 도메인: 선택한 데이터베이스에 대한 가용성 도메인이 기본적으로 표시됩니다. 대기 데이터베이스를 기본 데이터베이스와 동일한 가용성 도메인에 구성해야 하는 경우 이 가용성 도메인을 사용합니다. 그렇지 않은 경우 다른 가용성 도메인을 선택합니다.
- Exadata 인프라: 대기가 실행될 Exadata 인프라를 선택합니다.
- Data Guard Peer 리소스 유형: VM 클러스터를 선택합니다.
- VM 클러스터: 대기 데이터베이스가 실행될 VM 클러스터를 선택합니다. 대기 데이터베이스가 다른 컴파트먼트의 VM 클러스터에서 실행 중인 경우 해당하는 컴파트먼트를 선택합니다. 기본적으로 기본 데이터베이스와 동일한 컴파트먼트가 선택됩니다.
- Data Guard 유형: Data Guard 또는 Active Data Guard를 선택합니다. Active Data Guard의 경우 추가 라이센스가 필요할 수 있습니다.
- 보호 모드: 최대 성능 또는 최대 가용성을 선택합니다.
- 전송: 보호 모드 선택에 따라 동기 또는 비동기입니다. 보호 모드가 최대 성능인 경우 전송은 비동기입니다. 보호 모드가 최대 가용성인 경우 전송은 동기입니다.
- 데이터베이스 홈: 기존 데이터베이스 홈을 선택하거나 새 데이터베이스 홈을 생성합니다. 데이터베이스 홈이 기본 데이터베이스와 동일한 Oracle 데이터베이스 소프트웨어 버전 및 패치를 실행하는지 확인하십시오.
- 데이터베이스 고유 이름: (선택 사항) 피어 대기 데이터베이스에 대한 데이터베이스 고유 이름을 제공합니다. 제공된 데이터베이스 고유 이름이 없는 경우 기본적으로 OCI 인터페이스는 대기 데이터베이스에 대한 데이터베이스 고유 이름을 자동으로 구성합니다.
- 비밀번호: 기본 데이터베이스에 대한 sys 비밀번호를 제공합니다. Oracle 관리 키를 사용할 때는 sys 비밀번호와 TDE 전자 지갑 비밀번호가 동일해야 합니다.
- TDE 비밀번호: 기본 데이터베이스에 대한 TDE 비밀번호를 입력합니다. Oracle 관리 키를 사용할 때는 sys 및 TDE 비밀번호가 동일할 수 있습니다.
대기 추가를 누릅니다.

작업 요청이 완료되면 대기 VM 클러스터에 새 데이터베이스가 생성되고 두 데이터베이스 간에 Data Guard 그룹 또는 연관이 생성됩니다. 새 데이터베이스는 standby database로 구성됩니다.

영역 간 구성 Oracle Data Guard

이 단계에서는 여러 영역에서 Oracle Exadata Database Service on Dedicated Infrastructure 데이터베이스에 대해 Oracle Data Guard를 사용으로 설정하는 방법에 대해 설명합니다.

OCI 테넌시에서 기본 데이터베이스가 구성된 지역을 선택합니다.
기본 데이터베이스가 구성된 VCN에 대한 원격 피어링 접속을 생성합니다.
1. 네트워킹을 선택한 다음 가상 클라우드 네트워크를 선택합니다.
2. 고객 연결을 선택합니다.
3. 동적 경로 지정 게이트웨이를 선택합니다. 기존 DRG(동적 경로 지정 게이트웨이)를 선택하거나 동적 경로 지정 게이트웨이가 없는 경우 새 동적 경로 지정 게이트웨이를 생성합니다.
4. 동적 경로 지정 게이트웨이 메뉴에서 가상 클라우드 네트워크 연결을 선택합니다. 가상 클라우드 네트워크 연결이 없는 경우 가상 클라우드 네트워크 연결을 만듭니다.
5. Dynamic Routing Gateway 메뉴에서 Remote Peering Connection Attachments를 선택한 다음 원격 피어링 접속 생성을 누릅니다. 원격 피어링 접속의 이름을 입력하고 원격 피어링 접속 생성을 누릅니다.
  이렇게 하면 피어링 상태가 신규(피어링되지 않음)로 원격 피어링 접속 연결이 생성됩니다. 원격 피어링 접속 연결에는 기본 데이터베이스의 VCN에서 DRG로의 필수 경로 지정이 포함됩니다.
기본 데이터베이스의 VCN에서 대기 데이터베이스의 VCN으로의 경로를 생성합니다.
1. OCI 메뉴에서 네트워킹을 선택한 다음 가상 전용 네트워크를 선택합니다. 기본 데이터베이스의 영역에 대한 VCN을 선택합니다.
2. VCN 메뉴에서 경로 테이블을 선택한 다음 프라이빗 서브넷에 대한 경로 테이블을 선택합니다.
3. 대기 데이터베이스가 구성될 VCN에 경로를 추가합니다.
  예를 들어, 대기 데이터베이스가 IP 주소가 10.1.0.0/16인 VCN에 구성된 경우 DRG를 사용하여 대상 10.1.0.0/16에 대한 경로를 추가합니다.
위 예와 같이 네트워크 10.1.0.0/16를 사용하여 대기 데이터베이스가 구성된 네트워크에서 1521 포트에 연결할 수 있도록 개인 네트워크 보안 목록에 수신 보안 규칙을 추가합니다.
대기 데이터베이스가 실행될 영역을 선택합니다.
대기 데이터베이스가 구성될 VCN에 대한 원격 피어링 접속을 생성합니다.
1. OCI 메뉴에서 네트워킹을 선택한 다음 가상 클라우드 네트워크를 선택합니다.
2. 고객 연결을 선택합니다.
3. 동적 경로 지정 게이트웨이를 선택한 다음 기존 DRG를 선택합니다. Create one if one does not already exist, and select the new DRG.
4. Dynamic Routing Gateway 메뉴에서 Virtual Cloud Networks Attachments(가상 클라우드 네트워크 연결)를 선택합니다. VCN 첨부 파일이 없는 경우 생성합니다.
5. Dynamic Routing Gateway 메뉴에서 원격 피어링 접속 연결을 선택한 다음 원격 피어링 접속 생성을 누릅니다. 원격 피어링 접속의 이름을 입력하고 원격 피어링 접속 생성을 누릅니다.
  피어링 상태가 신규(피어링되지 않음)인 새 원격 피어링 접속 연결이 생성됩니다. 원격 피어링 접속 연결에는 대기 데이터베이스의 VCN에서 DRG로의 필수 경로 지정이 포함됩니다. 피어링 단계 중 사용될 원격 피어링 접속 OCID를 기록해 둡니다.
대기 데이터베이스의 VCN에서 기본 데이터베이스의 VCN으로의 경로를 생성합니다.
1. OCI 메뉴에서 네트워킹을 누른 다음 가상 프라이빗 네트워크를 누릅니다. 대기 데이터베이스가 구성될 영역에 대한 VCN을 선택합니다.
2. Virtual Cloud Networks(가상 클라우드 네트워크) 메뉴에서 Route Tables(경로 테이블)를 누른 다음 프라이빗 서브넷에 대한 경로 테이블을 선택합니다.
3. 기본 데이터베이스가 구성된 VCN에 경로를 추가합니다.
  예를 들어, 기본 데이터베이스가 IP 주소가 10.0.0.0/16인 VCN에서 실행 중인 경우 DRG를 사용하여 대상 10.0.0.0/16에 대한 경로를 추가합니다.
기본 데이터베이스가 구성된 VCN에서 1521 포트에 연결할 수 있도록 개인 네트워크 보안 목록에 수신 보안 규칙을 추가합니다(위의 예, 네트워크 10.0.0.0/16 사용).
기본 데이터베이스의 영역에서 OCI 메뉴로 이동하여 네트워킹을 선택합니다. 가상 클라우드 네트워크를 누른 다음 기본 데이터베이스가 실행 중인 네트워크에 대한 VCN을 선택합니다.
원격 피어링 접속 연결을 누릅니다.
2.e 단계에서 생성한 원격 피어링 접속이 피어링 상태가 신규(피어링되지 않음)로 표시됩니다.
원격 피어링 접속 이름을 누릅니다.
원격 피어링 접속 세부정보가 표시됩니다.
원격 피어링 접속 세부정보 페이지에서 접속 설정을 누릅니다.
새 창이 열립니다.
대기 데이터베이스가 실행될 영역과 대기 원격 피어 접속의 OCID(6단계의 OCID)를 선택합니다.
피어링에 성공하면 피어링 상태가 신규에서 보류 중으로 변경되고 피어링됨으로 변경됩니다.

이제 두 영역의 VCN 간 네트워크 통신이 설정되고 영역 간 Data Guard를 구성할 수 있습니다.
OCI 메뉴에서 Oracle Database를 누른 다음 Oracle Exadata Database Service on Dedicated Infrastructure를 누릅니다.
기본 데이터베이스 VM 클러스터가 구성된 컴파트먼트를 선택합니다.
Oracle Data Guard로 구성할 데이터베이스가 포함된 VM 클러스터를 선택합니다.
데이터베이스 이름을 눌러 데이터베이스를 선택합니다.
리소스 아래에서 Data Guard 연관을 누릅니다.
대기 추가를 누릅니다. Add standby window가 열리고 데이터베이스 버전에 따라 표시되는 옵션이 결정됩니다. 데이터베이스 버전 11g 및 12c은 Data Guard 연관을 지원하지만 버전 19c 이상은 Data Guard 그룹을 지원합니다. Data Guard 연관을 구성할지 아니면 Data Guard 그룹을 구성할지 선택합니다.
Data Guard 옵션 구성:
- 영역: 대기 데이터베이스가 실행될 영역을 선택합니다. 영역 간 Oracle Data Guard 구성이므로 다른 영역을 제공해야 합니다.
- 가용성 도메인: 대기 Oracle Exadata Database Service on Dedicated Infrastructure가 배치된 가용성 도메인을 선택합니다.
- Exadata 인프라: 대기가 실행될 Exadata 인프라를 선택합니다.
- VM 클러스터: 대기 데이터베이스가 실행될 VM 클러스터를 선택합니다. 대기 데이터베이스가 다른 컴파트먼트의 VM 클러스터에서 실행 중인 경우 해당하는 컴파트먼트를 선택합니다. 기본적으로 기본 데이터베이스와 동일한 컴파트먼트가 선택됩니다.
- Data Guard 유형: Data Guard 또는 Active Data Guard를 선택합니다. Active Data Guard에는 추가 라이센스가 필요할 수 있습니다.
- 보호 모드: 최대 성능을 선택합니다. 영역 간 Data Guard에 대해 유일하게 지원되는 옵션입니다.
- 전송: 비동기 항목을 선택합니다. 영역 간 Data Guard에 대해 유일하게 지원되는 옵션입니다.
- 데이터베이스 홈: 기존 데이터베이스 홈을 선택하거나 새 데이터베이스 홈을 생성합니다. 데이터베이스 홈이 기본 데이터베이스와 동일한 Oracle 데이터베이스 소프트웨어 버전 및 패치를 실행하는지 확인하십시오.
- 데이터베이스 고유 이름: (선택 사항) 피어 대기 데이터베이스에 대한 데이터베이스 고유 이름을 입력합니다. 데이터베이스 고유 이름을 입력하지 않으면 기본적으로 OCI 인터페이스는 대기 데이터베이스에 대한 데이터베이스 고유 이름을 자동으로 구성합니다.
- 비밀번호: 기본 데이터베이스에 대한 sys 비밀번호를 제공합니다. Oracle 관리 키를 사용할 때는 sys 비밀번호와 TDE 전자 지갑 비밀번호가 동일해야 합니다.
- TDE 비밀번호: 기본 데이터베이스에 대한 TDE 비밀번호를 입력합니다. Oracle 관리 키를 사용할 때는 sys 및 TDE 비밀번호가 동일할 수 있습니다.
대기 추가를 누릅니다.