Configurar o Recovery Service

Este artigo fornece informações sobre como configurar o Oracle Database Autonomous Recovery Service para uso com o Oracle Base Database Service.

O Oracle Database Autonomous Recovery Service é uma solução de backup em nuvem totalmente gerenciada, autônoma e centralizada para bancos de dados da Oracle Cloud Infrastructure (OCI).

Para obter mais informações sobre o Recovery Service, consulte Sobre o Oracle Database Autonomous Recovery Service.

Lista de Verificação de Configuração de Pré-requisito para o Recovery Service

Esta lista de verificação descreve as tarefas de pré-requisito que você deve concluir para poder usar o Recovery Service como destino de backup para os bancos de dados em sua tenancy.

1. Designar Políticas para Permitir o Acesso ao Recovery Service e Recursos Relacionados
2. Revisar Permissões do Serviço Networking para Configurar uma Subnet
3. Revisar Requisitos de Tamanho de Sub-rede e Regras de Segurança para Sub-rede do Recovery Service
4. Criar uma Sub-rede do Recovery Service na VCN do Banco de Dados
5. Registrar Sub-rede do Recovery Service
6. Certifique-se de que a Sub-rede do Recovery Service se Comunique com os Serviços Oracle
7. Certifique-se de que seu banco de dados tenha TDE totalmente configurada
8. Desativar Todos os Backups Operacionais Manuais

Designar Políticas para Permitir o Acesso ao Recovery Service e Recursos Relacionados

Designe instruções de política de forma que os Serviços de Banco de Dados do OCI suportados possam usar o Recovery Service para proteção de dados.

Na Console, use o Policy Builder para designar rapidamente as políticas necessárias para usar o Recovery Service em sua tenancy. No Criador de Políticas, selecione Autonomous Recovery Service como o Caso de Uso da Política e selecione estes modelos de política predefinidos:

• Capacidade para fazer tudo com o Autonomous Recovery Service
• Permite que os usuários gerenciem políticas de proteção no Autonomous Recovery Service
• Permite que os usuários gerenciem sub-redes do Autonomous Recovery Service

Capacidade para fazer tudo com o Autonomous Recovery Service

O modelo de política Capacidade de fazer tudo com o Autonomous Recovery Service inclui todas as instruções de política necessárias para fornecer permissões para que os serviços de banco de dados suportados usem o Recovery Service e para que o Recovery Service use os recursos de rede para acessar bancos de dados em uma VCN.

Você pode selecionar o modelo de política ou adicionar essas instruções de política usando o editor manual no Policy Builder.

Tabela - Instruções de Política Obrigatórias para Usar o Recovery Service

Instrução de Política	Criar em	Objetivo
Allow service database to manage recovery-service-family in tenancy	Compartimento raiz	Permite que o OCI Database Service acesse bancos de dados protegidos, políticas de proteção e sub-redes do Recovery Service em sua tenancy.
Allow service database to manage tagnamespace in tenancy	Compartimento raiz	Permite que o OCI Database Service acesse o namespace de tag em uma tenancy.
Allow service rcs to manage recovery-service-family in tenancy	Compartimento raiz	Permite que o Recovery Service acesse e gerencie bancos de dados protegidos, sub-redes do Recovery Service e políticas de proteção em sua tenancy.
Allow service rcs to manage virtual-network-family in tenancy	Compartimento raiz	Permite que o Recovery Service acesse e gerencie a sub-rede privada em cada VCN do banco de dados em sua tenancy. A sub-rede privada define o caminho de rede para backups entre um banco de dados e o Recovery Service.
Allow group admin to manage recovery-service-family in tenancy	Compartimento raiz	Permite que os usuários de um grupo especificado acessem todos os recursos do Recovery Service. Os usuários pertencentes ao grupo especificado podem gerenciar bancos de dados protegidos, políticas de proteção e sub-redes do Recovery Service.

Permite que os usuários gerenciem políticas de proteção no Autonomous Recovery Service

O modelo de política Permitir que os usuários gerenciem políticas de proteção no Autonomous Recovery Service concede permissões aos usuários de um grupo especificado para criar, atualizar e excluir recursos de política de proteção no Recovery Service.

Você pode selecionar o modelo de política ou adicionar essa instrução de política usando o editor manual no Policy Builder.

Tabela - Declaração de Política para Gerenciar Políticas de Proteção

Instrução de Política	Criar em	Objetivo
Allow group {group name} to manage recovery-service-policy in compartment {location}	Compartimento que possui as políticas de proteção.	Permite que todos os usuários de um grupo especificado criem, atualizem e excluam políticas de proteção no Recovery Service.

Considere este exemplo. Esta política concede ao grupo RecoveryServiceUser as permissões para criar, atualizar e excluir políticas de proteção no compartimento ABC.

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

Permite que os usuários gerenciem Sub-redes do Autonomous Recovery Service

O modelo de política Permitir que os usuários gerenciem sub-redes do Autonomous Recovery Service concede permissões aos usuários de um grupo especificado para criar, atualizar e excluir recursos da sub-rede do Recovery Service.

Você pode selecionar o modelo de política ou adicionar essa instrução de política no Policy Builder.

Tabela - Instrução de Política para Gerenciar Sub-redes do Recovery Service

Instrução de Política	Criar em	Objetivo
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	Compartimento que possui as sub-redes do Recovery Service.	Permite que todos os usuários de um grupo especificado criem, atualizem e excluam sub-redes do Recovery Service.

Considere este exemplo. Esta política concede ao grupo RecoveryServiceAdmin as permissões para gerenciar sub-redes do Recovery Service no compartimento ABC.

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Para obter mais informações sobre políticas, consulte Gerenciando Políticas.

Sobre o Uso de uma Sub-rede Privada para o Recovery Service

O Recovery Service usa uma sub-rede privada dentro de uma rede virtual na nuvem (VCN) na qual seu banco de dados reside. A sub-rede privada define o caminho de rede para backups entre o banco de dados e o Recovery Service.

A Oracle recomenda que a VCN do banco de dados tenha uma única sub-rede privada dedicada para backups no Recovery Service. Seu banco de dados Oracle Cloud pode residir na mesma sub-rede privada usada pelo Recovery Service ou em outra sub-rede dentro da mesma VCN.

Você pode criar uma sub-rede privada ou usar uma sub-rede preexistente na VCN do banco de dados. A Oracle recomenda que você use um tamanho de sub-rede de /24 (256 endereços IP).

Observação:

Selecione uma sub-rede somente IPv4 para o Recovery Service na VCN do banco de dados. Não selecione uma sub-rede ativada para IPv6, pois o Recovery Service não suporta o uso de uma sub-rede ativada para IPv6.

A VCN do banco de dados requer regras de segurança para permitir tráfego de backup entre seu banco de dados e o Recovery Service. As regras de segurança devem incluir regras de entrada com monitoramento de estado para permitir as portas de destino 8005 e 2484. Você pode usar estes recursos do serviço Networking para implementar regras de segurança:

• Listas de Segurança: Uma lista de segurança permite adicionar regras de segurança no nível da sub-rede. Na VCN do banco de dados, selecione a lista de segurança usada para a sub-rede do Recovery Service e adicione as regras de entrada para permitir as portas de destino 8005 e 2484.
• Grupos de Segurança de Rede: Os grupos de segurança de rede (NSGs) permitem controle granular sobre regras de segurança que se aplicam a VNICs individuais em uma VCN. O Recovery Service suporta estas opções para configurar regras de segurança usando NSGs:
  • Para implementar o isolamento da rede, crie um NSG para a VNIC do banco de dados (adicione regras de saída para permitir as portas 2484 e 8005) e um NSG separado para o Recovery Service (adicione regras de entrada para permitir as portas 2484 e 8005).
  • Crie e use um único NSG (com regras de saída e entrada) para a VNIC e o Recovery Service do banco de dados.

Observação:

Se você tiver configurado uma lista de segurança e um NSG na sua VCN do banco de dados, as regras definidas nos NSGs terão precedência sobre as regras definidas em uma lista de segurança.

Depois de criar uma sub-rede privada na VCN do banco de dados, designe as regras de segurança e registre a sub-rede como uma sub-rede do Recovery Service no Recovery Service. Se você tiver criado NSGs para implementar regras de segurança, certifique-se também de associar o NSG do Recovery Service à sub-rede do Recovery Service.

Observação:

A Oracle recomenda o uso de uma sub-rede privada para seus backups. No entanto, é possível usar uma sub-rede pública.

Para obter mais informações, consulte:

• Listas de Segurança
• Grupos de Segurança de Rede
• Gerenciamento de VCN e Sub-rede

Revisar Requisitos de Tamanho de Sub-rede e Regras de Segurança para Sub-rede do Recovery Service

As regras de segurança são necessárias para permitir o tráfego de backup entre um banco de dados e o Recovery Service.

Observação:

Selecione uma sub-rede somente IPv4 para o Recovery Service na VCN do banco de dados. Não selecione uma sub-rede ativada para IPv6, pois o Recovery Service não suporta o uso de uma sub-rede ativada para IPv6.

Tabela - Requisitos de tamanho de sub-rede e regras de entrada para uma sub-rede privada usada pelo Recovery Service

Item	Requisitos
Tamanho de sub-rede recomendado	/24 (256 Endereços IP)
Regra de entrada geral 1: Permitir tráfego HTTPS de Qualquer Lugar	Essa regra permite o tráfego de backup do seu OCI Database para o Recovery Service. Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado) Tipo de Origem: CIDR CIDR de Origem: CIDR da VCN em que o banco de dados reside Protocolo IP: TCP Intervalo de Portas de Origem: Tudo Faixa de Portas de Destino: 8005
Regra de entrada geral 2: Permite o Tráfego SQLNet de Qualquer Lugar	Essa regra permite conexões de catálogo de recuperação e proteção de dados em tempo real do seu OCI Database para o Recovery Service. Sem monitoramento de estado: Não (todas as regras devem ser com monitoramento de estado) Tipo de Origem: CIDR CIDR de Origem: CIDR da VCN em que o banco de dados reside Protocolo IP: TCP Intervalo de Portas de Origem: Tudo Faixa de Portas de Destino: 2484

Observação:

Se você usar grupos de segurança de rede (NSG) para implementar regras de segurança ou se a VCN do banco de dados restringir o tráfego de rede entre sub-redes, certifique-se de adicionar uma regra de saída para as portas 2484 e 8005 do NSG ou sub-rede do banco de dados ao NSG ou sub-rede do Recovery Service que você criar.

Revisar Permissões do Serviço Networking para Configurar uma Subnet

Certifique-se de ter essas permissões de Serviço de Rede necessárias para criar uma sub-rede na VCN do banco de dados e designar regras de segurança para o Recovery Service.

Tabela - Permissões do Serviço Networking Necessárias para Criar uma Sub-rede Privada e Configurar Regras de Segurança para o Recovery Service

Operação	Políticas de IAM Obrigatórias
Configurar uma sub-rede privada em uma VCN do banco de dados	use vcns para o compartimento no qual se encontra a VCN use subnets para o compartimento no qual se encontra a VCN manage private-ips para o compartimento no qual se encontra a VCN manage vnics para o compartimento no qual se encontra a VCN gerenciar vnics para o compartimento no qual o banco de dados está provisionado ou deve ser provisionado

Como alternativa, você pode criar uma política que permita um grupo especificado com acesso mais amplo a componentes de rede.

Por exemplo, use esta política para permitir que um grupo NetworkAdmin gerencie todas as redes em qualquer compartimento de uma tenancy.

Exemplo - Política para Administradores de Rede

Allow group NetworkAdmin to manage virtual-network-family in tenancy

Criar uma Sub-rede do Recovery Service na VCN do Banco de Dados

Use a Console do OCI para configurar uma sub-rede privada para o Recovery Service na rede virtual na nuvem (VCN) do banco de dados.

1. No menu de navegação, selecione Rede e, em seguida, Redes virtuais na nuvem.

   A página de lista de VCN é aberta. Todas as VCNs no compartimento selecionado são exibidas em uma tabela.

2. Selecione a VCN na qual seu banco de dados reside.

3. Use estas etapas para criar uma sub-rede do Recovery Service com uma lista de segurança. Se você optar por usar grupos de segurança de rede, ignore esta etapa.

   1. Na página de detalhes da VCN, selecione a guia Segurança.
   2. Selecione a lista de segurança usada para a VCN. Você deve adicionar duas regras de entrada para permitir as portas de destino 8005 e 2484.
   3. Na página de detalhes da lista de segurança, selecione a guia Regras de segurança.

      Selecione Adicionar Regras de Entrada e adicione os seguintes detalhes para configurar uma regra de entrada com monitoramento de estado que permita tráfego HTTPS de qualquer lugar:

      • Tipo de Origem: CIDR
      • CIDR de Origem: Especifique o CIDR da VCN em que o banco de dados reside.
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: Tudo
      • Faixa de Portas de Destino: 8005
      • Descrição: Especifique uma descrição opcional da regra de entrada para ajudar a gerenciar as regras de segurança.

   4. Selecione Adicionar Regra de Entrada e adicione esses detalhes para configurar uma regra de entrada com monitoramento de estado que permita tráfego SQLNet de qualquer lugar:

      • Tipo de Origem: CIDR
      • CIDR de Origem: Especifique o CIDR da VCN em que o banco de dados reside.
      • Protocolo IP: TCP
      • Intervalo de Portas de Origem: Tudo
      • Faixa de Portas de Destino: 2484
      • Descrição: Especifique uma descrição opcional da regra de entrada para ajudar a gerenciar as regras de segurança.

      Observação:

      Selecione uma sub-rede somente IPv4 para o Recovery Service na VCN do banco de dados. Não selecione uma sub-rede ativada para IPv6, pois o Recovery Service não suporta o uso de uma sub-rede ativada para IPv6.
   5. Volte para a página de detalhes da VCN e selecione a guia Sub-redes.
   6. Selecione Criar Sub-rede.
   7. Crie uma sub-rede privada ou selecione uma sub-rede privada que já exista na VCN do banco de dados. A Oracle recomenda um tamanho de sub-rede de /24 (256 endereços IP) para a sub-rede privada.
   8. Na página de detalhes da sub-rede, selecione a guia Segurança.
   9. Selecione Adicionar Lista de Segurança para adicionar a lista de segurança que inclui as regras de entrada para permitir as portas de destino 8005 e 2484.

      Observação:

      Se a VCN do banco de dados restringir o tráfego de rede entre sub-redes, certifique-se de adicionar uma regra de saída para as portas 2484 e 8005 da sub-rede do banco de dados à sub-rede do Recovery Service criada.

4. Use estas etapas para criar uma sub-rede do Recovery Service com grupos de segurança de rede (NSG).

   1. Volte para a página de detalhes da VCN e selecione a guia Sub-redes.
   2. Na seção Grupos de Segurança de Rede, selecione Criar Grupo de Segurança de Rede.

   3. Use um destes métodos suportados para configurar regras de segurança usando NSGs:

      • Para implementar o isolamento da rede, crie um NSG para a VNIC do banco de dados (adicione regras de saída para permitir as portas 2484 e 8005) e um NSG separado para o Recovery Service (adicione regras de entrada para permitir as portas 2484 e 8005).
      • Crie e use um único NSG (com regras de saída e entrada) para a VNIC e o Recovery Service do banco de dados.

      A página Grupo de Segurança de Rede lista os NSGs que você cria.

5. Depois de criar a sub-rede do Recovery Service na VCN do banco de dados, continue a registrar a sub-rede como uma sub-rede do Recovery Service. A Oracle recomenda que você registre uma única sub-rede do Recovery Service por VCN. Se você tiver implementado regras de segurança usando NSGs, certifique-se também de adicionar o NSG do Recovery Service à sub-rede do Recovery Service.

Registrar Sub-rede do Recovery Service

Depois de criar uma sub-rede privada para o Recovery Service na VCN do banco de dados, use este procedimento para registrar a sub-rede no Recovery Service.

Vários bancos de dados protegidos podem usar a mesma sub-rede do Recovery Service. Para garantir que o número necessário de endereços IP esteja disponível para suportar os pontos finais privados do Recovery Service, você pode designar várias sub-redes a uma sub-rede do Recovery Service que é usada por mais de um banco de dados protegido.

Observação:

Selecione uma sub-rede somente IPv4 para o Recovery Service na VCN do banco de dados. Não selecione uma sub-rede ativada para IPv6, pois o Recovery Service não suporta o uso de uma sub-rede ativada para IPv6.

Use as seguintes etapas para registrar a sub-rede do Recovery Service:

1. No menu de navegação, clique em Oracle Database e selecione Backups de Banco de Dados.
2. Selecione Sub-redes do Recovery Service.

   A página da lista de sub-redes do Recovery Service é aberta. Todas as sub-redes do Recovery Service no compartimento selecionado são exibidas em uma tabela.

3. Selecione Registrar sub-rede do Recovery Service.
4. No painel Registrar sub-rede do Recovery Service, informe os seguintes detalhes:
5. No campo Nome, informe um nome para a sub-rede do Serviço de Recuperação.
6. No campo Compartimento, selecione o compartimento no qual você deseja criar a sub-rede do Recovery Service.
7. No campo Rede virtual na nuvem, selecione a VCN do banco de dados. Selecione Compartimento para selecionar uma VCN pertencente a outro compartimento.
8. No campo Sub-rede, selecione uma sub-rede privada que você tenha configurado para operações do Recovery Service na sua VCN de banco de dados. Selecione Compartimento para selecionar uma sub-rede privada de outro compartimento.
9. (Opcional) Clique em +Another Sub-rede para designar uma sub-rede adicional à sub-rede do Recovery Service. Se uma única sub-rede não contiver endereços IP suficientes para suportar os pontos finais privados do Recovery Service, você poderá designar várias sub-redes.

10. Expanda Opções avançadas para inserir estes recursos adicionais:

    • Grupos de segurança de rede
    • Marcas

    Se você tiver usado um grupo de segurança de rede (NSG) para implementar regras de segurança para o Recovery Service na VCN do banco de dados, adicione o NSG do Recovery Service à sub-rede do Recovery Service. O NSG do Recovery Service pode residir no mesmo compartimento ou em outro compartimento. No entanto, o NSG deve pertencer à mesma VCN à qual a sub-rede especificada pertence.

    1. Na seção Grupos de segurança de rede, selecione Usar grupos de segurança de rede para controlar o tráfego.
    2. Selecione o NSG do Recovery Service que você criou na VCN do banco de dados.
    3. Selecione +Another grupo de segurança de rede para associar vários NSGs (máximo cinco).

    (Opcional) No campo Namespace de Tag, considere adicionar um namespace de tag ou marcar o controle com um namespace de tag existente.

11. Selecione Registrar.

Você pode substituir uma sub-rede ou adicionar mais sub-redes para suportar o número necessário de pontos finais privados.

Use estas etapas para atualizar uma sub-rede do Recovery Service existente:

1. Na página de detalhes da sub-rede do Recovery Service, selecione a guia Sub-redes.
2. Selecione Adicionar sub-redes e selecione as sub-redes que deseja adicionar.
3. Para substituir uma sub-rede existente, selecione o menu Ação e selecione Excluir. Você pode adicionar outra sub-rede.

Observação:

Uma sub-rede do Recovery Service deve estar associada a pelo menos uma sub-rede pertencente à sua VCN do banco de dados.

Use estas etapas para gerenciar grupos de segurança de rede (NSGs) para uma sub-rede do Recovery Service existente:

1. Na guia Grupos de segurança de redes, selecione Adicionar grupos do serviço network security.
2. Selecione e adicione os grupos de segurança de rede do Recovery Service (no máximo cinco).
3. Para remover um NSG, selecione o recurso e selecione Remover.

Certifique-se de que a Sub-rede do Recovery Service se Comunique com os Serviços Oracle

A Sub-rede do Recovery Service que você registrou precisa se comunicar com o Recovery Service.

Para acessar o serviço, a tabela de roteamento da sub-rede privada precisa incluir Todos os Serviços IAD no Oracle Services Network.

Certifique-se de que seu banco de dados tenha TDE totalmente configurada

Ao usar o Recovery Service, você deve ter seu banco de dados totalmente criptografado com TDE.

Para novos bancos de dados que nascem na nuvem, isso já deve ser feito. Mas se você criar um banco de dados stub na OCI e migrar um banco de dados para um Oracle Database Cloud Service on-premises ou em outro lugar, talvez não atenda a todos os critérios. Para esses bancos de dados, verifique se você atende aos pré-requisitos para fazer backup no serviço de recuperação. Eu tenho uma postagem no blog que você pode encontrar aqui que descreverá o que verificar com consultas a serem executadas.

Você deve atender a estes 3 critérios:

• Você precisa ter WALLET_ROOT configurado no banco de dados. Se você ainda estiver usando sqlnet.ora, precisará usar dbaascli para definir adequadamente WALLET_ROOT para todos os bancos de dados que estarão utilizando o Recovery Service. Para ativar o parâmetro SPFILE wallet_root para um banco de dados existente, execute:

  dbaascli tde enableWalletRoot

  Observação:

  A definição de ENCRYPTION_WALLET_LOCATION em sqlnet.ora não é suportada e será obsoleta.
• Você precisa ter uma chave de criptografia definida para o CDB e todos os PDBs no seu banco de dados.
• TODOS os tablespaces devem ser criptografados TDE antes de executar seu primeiro backup.

Desativar Todos os Backups Operacionais Manuais

Em alguns casos, os usuários do OCI executam backups operacionais manuais. Esses backups são executados fora do conjunto de ferramentas padrão e suportam recuperação pontual (backups não KEEP).

Se você estiver executando qualquer um desses tipos de backups operacionais, é fundamental desativá-los neste momento. A execução de backups operacionais em dois locais diferentes pode causar problemas com ambos os backups e criar cenários de perda de dados. Portanto, antes de ativar backups automáticos, você deve desativar scripts e processos de backup manuais para outros destinos de armazenamento.

Observação:

Se você estiver usando o conjunto de ferramentas para backups de armazenamento de objetos e alternar para o Recovery Service, o switchover será automatizado pelo conjunto de ferramentas e todos os backups anteriores permanecerão disponíveis.

---

Título e Informações de Copyright

Copyright ©2024,2025,

Oracle e/ou suas empresas afiliadas.