Configurar o Oracle Data Guard para o Oracle Exadata Database Service on Dedicated Infrastructure

O Data Guard do Oracle Exadata Database Service on Dedicated Infrastructure suporta chaves gerenciadas pela Oracle e chaves gerenciadas pelo cliente para TDE (Transparent Data Encryption). As chaves gerenciadas pela Oracle usam wallets baseadas em senha para armazenar e gerenciar chaves de TDE, enquanto as chaves gerenciadas pelo cliente permitem armazenar e gerenciar chaves de TDE no OCI Vault. Por padrão, o Oracle Exadata Database Service on Dedicated Infrastructure usa chaves gerenciadas pela Oracle.

Verificar Políticas de Segurança e Grupos Dinâmicos

Se o seu banco de dados usar o OCI Vault para armazenar chaves gerenciadas pelo cliente, siga as etapas abaixo para verificar se todas as políticas de segurança necessárias e os grupos dinâmicos estão configurados corretamente. Você poderá ignorar esta seção se seu banco de dados usar chaves gerenciadas pela Oracle.

  1. Na console do OCI, navegue até o menu principal e clique em Identidade e Segurança.
  2. Clique emGrupos Dinâmicos.
    Em tenancies mais recentes, clique em Domínios e, em seguida, clique em Grupos Dinâmicos.
  3. Verifique se um grupo dinâmico está configurado com uma regra semelhante à seguinte:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. Navegue até Identidade & Segurança e clique em Políticas.
    Verifique se existe uma política de segurança com as seguintes regras:
    Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

Verificar Replicação do OCI Vault

Se você estiver configurando o Oracle Data Guard entre duas regiões e seu banco de dados usar chaves gerenciadas pelo cliente, um Virtual Private Vault deverá ser replicado entre as duas regiões. Você poderá ignorar esta seção se seu banco de dados usar chaves gerenciadas pela Oracle. Estas etapas descrevem como verificar se o seu Vault Virtual Privado está sendo replicado em ambas as regiões.

  1. Navegue até o menu do OCI e clique em Identidade e Segurança.
  2. Clique em Vault.
  3. Na lista de vaults disponíveis, verifique se a coluna Privado Virtual está definida como sim para o vault a ser usado para os bancos de dados na Associação do Data Guard.
    Se um vault ainda não existir, clique em Criar Vault e forneça um nome para o vault. Selecione a opção Tornar um vault privado virtual e clique em Criar Vault.
  4. Verifique se o Virtual Private Vault está replicado para a região em que o banco de dados stand-by será criado:
    1. Navegue até o menu do OCI e selecione Identidade e Segurança.
    2. Clique em Vault.
    3. Selecione o vault a ser usado para os bancos de dados na Associação do Data Guard.
      Se a Replicação do Vault estiver ativada para este vault, a página do vault exibirá a Atribuição de Replicação e os Detalhes da Replicação. Se nenhuma informação de Replicação for exibida, o vault não será replicado.
  5. Para replicar o vault para outra região, clique em Replicar Vault. Selecione a região em que o banco de dados stand-by será configurado e clique em Criar Réplica.
    O vault é replicado para a outra região e estará disponível para criar Associações do Data Guard após alguns minutos.
  6. Verifique se as chaves existentes dos bancos de dados existentes foram replicadas do vault de origem para o vault de réplica.
  7. No vault de origem, crie novas chaves para novos bancos de dados e verifique se elas são replicadas no vault de réplica.

Configurar o Oracle Data Guard na Região

Estas etapas descrevem como ativar o Oracle Data Guard para bancos de dados Oracle Exadata Database Service on Dedicated Infrastructure na mesma região.

  1. Navegue até o menu do OCI e clique em Oracle Database.
  2. Clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  3. Selecione o compartimento no qual o cluster de VMs do Oracle Exadata Database Service on Dedicated Infrastructure está configurado.
  4. Selecione o cluster de VMs no qual o banco de dados a ser configurado com o Oracle Data Guard está localizado.
  5. Clique no nome da base de dados para selecionar a base de dados.
  6. Em Recursos, clique em Associações de Data Guard.
  7. Clique emAdicionar Stand-by. Uma janela Adicionar stand-by será aberta. A versão do banco de dados determina as opções exibidas. Os bancos de dados versão 11g e 12c suportam Associações do Data Guard, enquanto as versões 19c e mais recentes suportam Grupos do Data Guard. Selecione se deseja configurar uma Associação do Data Guard ou um Grupo do Data Guard.
  8. Configure as opções do Data Guard:
    • Região de Pareamento: A região do banco de dados selecionado é exibida por padrão. Use esta região para a configuração do Oracle Data Guard.
    • Domínio de Disponibilidade: O domínio de disponibilidade do banco de dados selecionado é exibido por padrão. Use este domínio de disponibilidade se o banco de dados stand-by tiver que ser configurado no mesmo domínio de disponibilidade que o banco de dados principal. Caso contrário, selecione um domínio de disponibilidade diferente.
    • Exadata Infrastructure: Selecione a Infraestrutura do Exadata na qual o stand-by estará em execução.
    • Tipo de recurso de Par de Data Guard: Selecione o cluster de VMs.
    • Cluster de VMs: Selecione o cluster de VMs no qual o banco de dados stand-by estará em execução. Se o banco de dados stand-by estiver em execução em um cluster de VMs em outro compartimento, selecione o compartimento correspondente. Por padrão, o mesmo compartimento do banco de dados principal é selecionado.
    • Tipo de Data Guard: Selecione Data Guard ou Active Data Guard. O Active Data Guard pode exigir uma licença adicional.
    • Modo de Proteção: Selecione Desempenho Máximo ou Disponibilidade Máxima.
    • Transporte: Síncrono ou Assíncrono, dependendo da seleção do Modo de Proteção. Se o Modo de Proteção for Desempenho Máximo, o Transporte será Assíncrono. Se o Modo de Proteção for Disponibilidade Máxima, o Transporte será Síncrono.
    • Home do Banco de Dados: Selecione existente ou crie um novo home do banco de dados. Certifique-se de que o home do banco de dados execute a mesma versão e os patches do software de banco de dados Oracle que o principal.
    • Nome Exclusivo do Banco de Dados: (Opcional) Forneça um nome exclusivo para o banco de dados stand-by de mesmo nível. Se nenhum nome exclusivo de banco de dados for fornecido, por padrão, a interface do OCI configurará automaticamente um nome exclusivo para o banco de dados stand-by.
    • Senha: Forneça a senha sys para o banco de dados principal. A senha sys e a senha da Wallet de TDE devem ser iguais ao usar chaves gerenciadas pela Oracle.
    • Senha de TDE: Informe a senha do TDE para o banco de dados principal. A senha sys e TDE pode ser a mesma ao usar as Chaves Gerenciadas Oracle.
  9. Clique emAdicionar Stand-by.
Após a conclusão da solicitação de serviço, um novo banco de dados é criado no Cluster de VMs stand-by, e um Grupo ou Associação do Data Guard é criado entre os dois bancos de dados. O novo banco de dados é configurado como um banco de dados stand-by.

Configurar o Oracle Data Guard entre Regiões

Estas etapas descrevem como ativar o Oracle Data Guard para bancos de dados Oracle Exadata Database Service on Dedicated Infrastructure em diferentes regiões.

  1. Na sua tenancy do OCI, selecione a região em que o banco de dados principal está configurado.
  2. Crie uma Conexão de Pareamento Remoto para a VCN em que o banco de dados principal está configurado:
    1. Selecione Networking e, em seguida, selecione Virtual Cloud Networks
    2. Selecione Conectividade do Cliente.
    3. Selecione Gateway de Roteamento Dinâmico. Selecione um Gateway de Roteamento Dinâmico (DRG) existente ou crie um novo Gateway de Roteamento Dinâmico se ainda não existir um.
    4. No menu Gateway de Roteamento Dinâmico, selecione Anexos de Redes Virtuais na Nuvem. Crie um Anexo de Redes Virtuais na Nuvem se ainda não existir um.
    5. No menu Gateway de Roteamento Dinâmico, selecione Anexos de Conexão de Pareamento Remoto e clique em Criar Conexão de Pareamento Remoto. Informe um nome para a Conexão de Pareamento Remoto e clique em Criar Conexão de Pareamento Remoto.
      Isso cria um Anexo de Conexão de Pareamento Remoto no Status Novo de Pareamento (não pareado). O Anexo de Conexão de Pareamento Remoto inclui o roteamento necessário da VCN do banco de dados principal para o DRG.
  3. Crie uma rota da VCN do banco de dados principal para a VCN do banco de dados stand-by:
    1. No menu do OCI, selecione Networking e Virtual Private Networks. Selecione a VCN para a região do banco de dados principal.
    2. No menu VCN, selecione Tabelas de Roteamento e, em seguida, selecione a tabela de roteamento para a sub-rede privada.
    3. Adicione uma rota à VCN na qual o banco de dados stand-by será configurado.
      Por exemplo, se o banco de dados stand-by for configurado em uma VCN em que o endereço IP é 10.1.0.0/16, adicione uma rota para o destino 10.1.0.0/16 usando o DRG.
  4. Adicione uma Regra de Segurança de Entrada à Lista de Segurança de Rede Privada para permitir conexões com a porta 1521 da rede na qual o banco de dados stand-by está configurado (usando o exemplo acima, rede 10.1.0.0/16).
  5. Selecione a região em que o banco de dados stand-by será executado.
  6. Crie uma Conexão de Pareamento Remoto para a VCN em que o banco de dados stand-by será configurado:
    1. No menu do OCI, selecione Rede e, em seguida, selecione Redes Virtuais na Nuvem.
    2. Selecione Conectividade do Cliente.
    3. Selecione Gateway de Roteamento Dinâmico e selecione um DRG existente. Crie um se ainda não existir um e selecione o novo DRG.
    4. No menu Dynamic Routing Gateway, selecione Anexos de Redes Virtuais na Nuvem. Crie um Anexo de VCN se ainda não existir um.
    5. No menu do Gateway de Roteamento Dinâmico, selecione Anexos de Conexão de Pareamento Remoto e clique em Criar Conexão de Pareamento Remoto. Informe um nome para a Conexão de Pareamento Remoto e clique em Criar Conexão de Pareamento Remoto.
      Um novo Anexo de Conexão de Pareamento Remoto no Status Novo de Pareamento (não pareado) é criado. O Anexo de Conexão de Pareamento Remoto incluirá o roteamento necessário da VCN do banco de dados stand-by para o DRG. Anote o OCID da Conexão de Pareamento Remoto, que será usado durante a etapa de pareamento.
  7. Crie uma rota da VCN do banco de dados stand-by para a VCN do banco de dados principal:
    1. No menu do OCI, clique em Networking e, em seguida, clique em Virtual Private Networks. Selecione a VCN para a região em que o banco de dados stand-by será configurado.
    2. No menu Redes Virtuais na Nuvem, clique em Tabelas de Roteamento e selecione a tabela de roteamento para a sub-rede privada.
    3. Adicione uma rota à VCN na qual o banco de dados principal está configurado.
      Por exemplo, se o banco de dados principal estiver em execução em uma VCN em que o endereço IP seja 10.0.0.0/16, adicione uma rota para o destino 10.0.0.0/16 usando o DRG.
  8. Adicione uma Regra de Segurança de Entrada à Lista de Segurança de Rede Privada para permitir conexões com a porta 1521 da VCN na qual o banco de dados principal está configurado (usando o exemplo acima, da rede 10.0.0.0/16).
  9. Na região do banco de dados principal, navegue até o menu OCI e selecione Rede. Clique em Redes Virtuais na Nuvem e selecione a VCN da rede na qual o banco de dados principal está sendo executado.
  10. Clique em Anexos de Conexões de Pareamento Remoto.
    A Conexão de Pareamento Remoto criada na etapa 2.e será exibida em Status Novo de Pareamento (não pareado).
  11. Clique no nome da Conexão de Pareamento Remoto.
    Os detalhes da Conexão de Pareamento Remoto são exibidos.
  12. Na página de detalhes do Remote Peering Conection, clique em Estabelecer Conexão.
    Uma nova janela será aberta.
  13. Selecione a região em que o banco de dados stand-by estará em execução e o OCID da conexão de pareamento remoto stand-by (OCID da etapa 6.e.)
    Se o pareamento for bem-sucedido, o Status do Pareamento será alterado de Novo, para Pendente, para Pareado.
    A comunicação de rede entre as VCNs das duas regiões agora está estabelecida, e o Data Guard entre regiões pode ser configurado.
  14. No menu da OCI, clique em Oracle Database e, em seguida, clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  15. Selecione o compartimento no qual o cluster de VMs do banco de dados principal está configurado.
  16. Selecione o cluster de VMs que inclui o banco de dados a ser configurado com o Oracle Data Guard.
  17. Clique no nome da base de dados para selecionar a base de dados.
  18. Em Recursos, clique em Associações de Data Guard.
  19. Clique emAdicionar Stand-by. Uma janela Adicionar stand-by será aberta. A versão do banco de dados determina as opções exibidas. Os bancos de dados versão 11g e 12c suportam Associações do Data Guard, enquanto as versões 19c e mais recentes suportam Grupos do Data Guard. Selecione se deseja configurar uma Associação do Data Guard ou um Grupo do Data Guard.
  20. Configure as opções do Data Guard:
    • Região: Selecione a região em que o banco de dados stand-by estará em execução. Uma região diferente deve ser fornecida porque esta é uma configuração do Oracle Data Guard entre regiões.
    • Domínio de Disponibilidade: Selecione o domínio de disponibilidade no qual o Oracle Exadata Database Service on Dedicated Infrastructure stand-by está implantado.
    • Exadata Infrastructure: Selecione a Infraestrutura do Exadata na qual o stand-by estará em execução.
    • Cluster de VMs: Selecione o cluster de VMs no qual o banco de dados stand-by estará em execução. Se o banco de dados stand-by estiver em execução em um cluster de VMs em outro compartimento, selecione o compartimento correspondente. Por padrão, o mesmo compartimento do banco de dados principal é selecionado.
    • Tipo de Data Guard: Selecione Data Guard ou Active Data Guard. O Active Data Guard pode exigir uma licença adicional.
    • Modo de Proteção: Selecione o Desempenho Máximo. Esta é a única opção suportada para o Data Guard entre regiões.
    • Transporte: Selecione assíncrono. Esta é a única opção suportada para o Data Guard entre regiões.
    • Home do Banco de Dados: Selecione existente ou crie um novo home do banco de dados. Certifique-se de que o home do banco de dados execute a mesma versão e os patches do software de banco de dados Oracle que o principal.
    • Nome Exclusivo do Banco de Dados: (Opcional) Informe um nome exclusivo para o banco de dados stand-by de mesmo nível. Se nenhum nome exclusivo de banco de dados for informado, por padrão, a interface do OCI configurará automaticamente um nome exclusivo para o banco de dados stand-by.
    • Senha: Forneça a senha sys para o banco de dados principal. A senha sys e a senha da wallet de TDE devem ser iguais ao usar chaves gerenciadas pelo sistema Oracle.
    • Senha de TDE: Informe a senha do TDE para o banco de dados principal. A senha sys e TDE pode ser a mesma ao usar as Chaves Gerenciadas Oracle.
  21. Clique emAdicionar Stand-by.
Após a conclusão da solicitação de serviço, um novo banco de dados é criado no Cluster de VMs stand-by, e um Grupo ou Associação do Data Guard é criado entre os dois bancos de dados. O novo banco de dados é configurado como um banco de dados stand-by.