2 将 Oracle Database 引入 Recovery Service

使用核对清单查看强制性要求，并计划将您的 Oracle Database 引入恢复服务。

• 恢复服务的必备要求核对清单
  使用此核对清单可以验证将 Oracle Database 注册到恢复服务的必备先决条件。
• 恢复服务的可选配置核对清单
  您可以选择为恢复服务配置这些附加选项。
• 恢复服务资源限制
  服务限制是对资源设置的限额或限额。自治恢复服务对受保护数据库的数量和备份存储空间利用率具有最大限制。限制适用于每个区域。
• OCI 中 Oracle 数据库的可选权限
  默认情况下，OCI 中的 Oracle 数据库具有访问恢复服务的权限。该服务还可以访问数据库 VCN 中的网络资源。您可以选择为 OCI 数据库分配其他和可选权限，如本主题所述。
• Oracle Multicloud 数据库使用 Recovery Service 所需的权限
  分配 Recovery Service IAM 策略，以允许 Oracle Multicloud Database 将备份发送到 Recovery Service。
• 为恢复服务配置网络资源
  为数据库 VCN 中的恢复服务操作创建或使用现有的仅 IPv4 子网。定义安全规则来控制数据库与恢复服务之间的备份流量。
• 注册恢复服务子网
  使用此过程注册恢复服务子网。
• 管理恢复服务资源的方法
  在 Oracle Cloud Infrastructure (OCI) 中，您可以使用各种接口来创建和管理恢复服务资源，以适应不同的管理用例。

恢复服务的必备需求核对清单

使用此核对清单验证将 Oracle Database 登记到恢复服务的必备先决条件。

注意：

到两个不同备份目的地的运行备份可能会造成数据丢失的情况。因此，在启用自动备份到恢复服务之前，必须禁用手动备份脚本和进程到其他存储目的地。

表 2-1 将数据库引入恢复服务的必需要求

Check	任务
恢复服务使用的端口	您必须打开这些网络端口并配置恢复服务的安全规则。 端口 2484 - 启用到 RMAN 目录的 SQL*Net 连接，恢复服务使用该目录。 端口 8005 - 启用从数据库到恢复服务的备份通信。
恢复服务的安全规则	使用安全列表或网络安全组 (NSG) 配置安全规则。 在 OCI 中部署的 Oracle 数据库的安全规则 对于 OCI 数据库，Oracle 建议您使用安全列表为数据库 VCN 中的恢复服务子网实施安全规则。 对于 Oracle Exadata Database Service on Dedicated Infrastructure ，备份子网用作默认恢复服务子网。 对于 Oracle Base Database Service ，数据库子网用作默认恢复服务子网。 有关详细信息，请参见 Subnet Size and Security Rules for Recovery Service Subnet 。 Oracle Multicloud 数据库的安全规则 对于 Oracle Multicloud 数据库，必须在注册 Recovery Service 子网时使用网络安全组 (NSG) 来定义安全规则并关联 NSG（最多五个）。
受支持的平台	Linux x86-64
目标数据库兼容性级别	19.0.0 或更高版本 确保将目标数据库兼容性级别（COMPATIBLE 初始化参数）设置为 19.0.0 或更高版本。
支持的 Oracle Database 发行版	Oracle Cloud 数据库和 Oracle Multicloud 数据库 您可以将 Autonomous Recovery Service 设置为预配了以下任一发行版的 Oracle Cloud 数据库和 Oracle Multicloud 数据库的备份目的地： Oracle AI Database 26ai 发行版更新 23.4 或更高版本 Oracle Database 21c 发行版更新 21.7 或更高版本 要使用实时数据保护功能，您的数据库必须预配有 Oracle Database 21c 发行版更新 21.8 或更高版本。 Oracle Database 19c 发行版更新 19.16 或更高版本 要使用实时数据保护功能，您的数据库必须预配有 Oracle Database 19c 发行版更新 19.18 或更高版本。 内部部署 Oracle 数据库 您可以将预配了其中任一发行版的内部部署 Oracle 数据库添加到恢复服务。 Oracle AI Database 26ai 发行版更新 23.4 或更高版本 Oracle Database 19c 发行版更新 19.18 或更高版本 有关详细信息，请参阅使用云保护将内部部署数据库添加到恢复服务。 Oracle Database 发布支持政府云恢复服务的版本 Oracle Database 发布支持 Oracle US Government Cloud 恢复服务的版本 Oracle Database 发布支持 Oracle US Defense Cloud 恢复服务的版本 Oracle Database 发布支持英国政府云恢复服务的版本
恢复服务资源限制	如果需要，请确保恢复服务资源限制足够，并请求提高服务限制。 对于 Oracle Multicloud 数据库，您必须从 OCI 控制台的限额、限额和使用量页面查看和调整特定于多云订阅的限制。 注意： 如果您未选择多云订阅，则增加的限制将应用于 OCI 资源。 有关详细信息，请参阅恢复服务资源限制。
恢复服务 IAM 策略	OCI 中的 Oracle 数据库 默认情况下，在 OCI 中部署的 Oracle 数据库已分配有访问恢复服务进行备份的权限。 可以分配可选策略（例如 tag namespace 策略）或限制对特定用户或组的访问以管理恢复服务资源的策略。 请参阅 OCI 中 Oracle 数据库的可选权限 Oracle Multicloud 数据库 您必须分配 Oracle Multicloud 数据库服务所需的权限，才能使用 Recovery Service 进行备份。 Oracle Database@Azure 的权限 Oracle Database@Google Cloud 的权限 Oracle Database@AWS 的权限 注意： 对于现有 OCI 租户，您必须分配 Oracle Database@AWS 使用恢复服务所需的权限。对于新的 OCI 租户，默认情况下会分配相同的权限。 有关详细信息，请参阅 Oracle Multicloud 数据库使用恢复服务所需的权限。
数据库密码	如果要将本地 Oracle Database 备份到 Recovery Service，则必须设置并打开 TDE wallet，而不管是否为数据库配置了 TDE。如果可插入数据库 (pluggable database，PDB) 使用本地 TDE 钱包，则必须打开本地 TDE 钱包。要将备份加密到恢复服务，必须执行此操作。 有关更多信息，请参阅透明数据加密指南中的以下部分： 透明数据加密简介 管理密钥库和主体加密密钥 注意： Oracle 强烈建议使用外部密钥管理系统，例如 Oracle Key Vault。将解密密钥存储在与加密数据相同的服务器上，可以使数据库服务器攻击获得对密钥和数据库的访问权限。如果密钥损坏或被盗，则无法恢复加密的备份。 有关将内部部署数据库添加到恢复服务的详细步骤，请参阅使用 Oracle Database Zero Data Loss Cloud Protect 保护内部部署数据库。
DNS 解析	如果要将内部部署 Oracle Database 添加到 Recovery Service，则需要 DNS 监听程序才能接受来自内部部署网络的 DNS 请求。 DNS 监听程序将用于解析恢复服务备份 IP 地址。FQDN 必须在恢复服务子网中注册。 有关将内部部署数据库添加到恢复服务的详细步骤，请参阅使用 Oracle Database Zero Data Loss Cloud Protect 保护内部部署数据库。
OCI 中 Oracle 数据库的恢复服务子网	对于 OCI 数据库（例如 Oracle Exadata Database Service on Dedicated Infrastructure 和 Oracle Base Database Service），Recovery Service 在您启用自动备份时会自动注册 Recovery Service 子网。 对于 Oracle Exadata Database Service on Dedicated Infrastructure ，Recovery Service 会自动将备份子网注册为默认 Recovery Service 子网。 对于 Oracle Base Database Service ，Recovery Service 会自动将数据库子网注册为默认 Recovery Service 子网。 选择以下选项之一： 使用服务已注册的默认恢复服务子网（建议）。 有关详细信息，请参见获取受保护数据库的恢复服务子网详细信息。 （可选）在数据库 VCN 中创建自己的恢复服务子网。 恢复服务需要数据库所在的同一虚拟云网络 (VCN) 中只有 IPv4 个子网。首先，在数据库 VCN 中创建自己的恢复服务子网，然后将安全规则分配给您创建的恢复服务子网。最后， register the Recovery Service subnet 。如果您已使用网络安全组 (NSG) 定义安全规则，则必须将 NSG（最多五个）添加到恢复服务子网。
Oracle Multicloud 数据库的恢复服务子网	对于 Oracle Multicloud 数据库，请确保通过关联网络安全组 (NSG) 将备份子网注册为恢复服务子网。建议的子网大小为 /24。 Recovery Service 支持以下 Oracle Multicloud 数据库服务： Oracle Database@Azure Oracle Database@Google Cloud Oracle Database@AWS 注意： 网络端口 2484 和 8005 启用 Oracle Database@AWS 与 Recovery Service 之间的网络连接。在现有 OCI 租户中，确保打开网络端口 2484 和 8005 。在新的 OCI 租户中，默认情况下会为 Oracle Database@AWS 打开相同的网络端口。 将 Oracle Database@AWS 资源注册到 Recovery Service 时，该服务会自动将备份子网注册为 Recovery Service 子网。您可以使用服务自动注册的默认恢复服务子网，也可以使用注册您自己的恢复服务子网。
适用于本地 Oracle 数据库的 SBT 库	Cloud Protect Fleet Agent 要求 SBT 库文件 libra.so 使用 Recovery Service 执行数据库备份和恢复操作。 对于 Oracle Database 19.27 或更高版本以及 Oracle AI Database 26ai Release Update 23.8 或更高版本，安装数据库后，$ORACLE_HOME/lib 目录中提供了 libra.so SBT 库。 对于 Oracle Database 19.26 及更早版本，请确保从 My Oracle Support Patch Number 37855779 下载 libra.so SBT 库文件。 有关详细信息，请参阅使用 Oracle Database Zero Data Loss Cloud Protect 保护内部部署数据库。

恢复服务的可选配置核对清单

您可以选择为恢复服务配置这些附加选项。

表 2-2 恢复服务的可选配置核对清单

Check	更多信息
保护策略选项	定制保护策略 除了使用 Oracle 定义的保护策略外，您还可以创建定制保护策略并定义所需的保留期（最短 14 天到最长 95 天）。 选择备份存储位置 默认情况下，Recovery Service 在 Oracle Cloud 中创建受保护数据库和相关备份。您可以根据需要覆盖 Oracle Multicloud 数据库的此默认行为，例如 Oracle Database@Azure 、Oracle Database@Google Cloud 和 Oracle Database@AWS 。 如果您为定制保护策略启用了将备份存储在与数据库相同的云提供商中选项，则策略链接的受保护数据库和备份将存储在预配 Oracle Database 的同一云提供商中。 有关详细信息，请参阅 Multicloud Oracle Database Backup Support 。 启用保留锁定 保留锁定是保护受保护数据库备份的可选功能。有关详细信息，请参见 Using Retention Lock to Protect Backups 。
用于管理恢复服务资源的 IAM 用户和组	作为租户管理员，您可以创建 IAM 用户和组来管理 Recovery Service 相关任务。 然后，您可以为组分配恢复服务策略语句。例如，创建一个名为 recoveryserviceadmin 的组，然后分配允许 recoveryserviceadmin 组管理受保护数据库、保护策略和恢复服务子网的策略。 创建组 创建用户 向组中添加用户

恢复服务资源限制

服务限制是对资源设置的定额或限额。自治恢复服务对受保护数据库的数量和备份存储空间利用率具有最大限制。限制适用于每个区域。

表 2-3 自治恢复服务资源限制

资源	Oracle 通用储值	Pay As You Go 或试用版
自治恢复服务保护的数据库计数	联系我们	联系我们
用于恢复窗口的自治恢复服务空间 (GB)	联系我们	联系我们

使用控制台查看当前的服务限制和使用信息，并在必要时请求提高资源限制。

1. 在导航菜单中，依次选择监管和管理和租户管理。
2. 选择限制，限额和使用量。
3. 从服务列表中选择自治恢复服务。
   查看当前限制和使用信息。
4. 请求提高服务资源限制（如有必要）。对于 Oracle Multicloud 数据库，请确保从限额、限额和使用量页面查看和调整特定于多云订阅的限制。

   注意：

   如果您未选择多云订阅，则增加的限制将应用于 OCI 资源。
5. （可选）您还可以控制区间内的资源利用率。有关详细信息，请参阅限额策略快速入门。

OCI 中 Oracle 数据库的可选权限

默认情况下，OCI 中的 Oracle 数据库分配有访问恢复服务的权限。该服务还可以访问数据库 VCN 中的网络资源。您可以选择为 OCI 数据库分配其他和可选权限，如本主题所述。

注意：

Recovery Service 为 Oracle Database@Azure 、Oracle Database@Google Cloud 和 Oracle Database@AWS 提供单独的 IAM 策略模板。

如果要为 Oracle Multicloud 数据库配置恢复服务，请跳过本部分，然后转至Oracle Multicloud 数据库使用恢复服务所需的权限。

要为 OCI 数据库分配可选权限，请执行以下操作：

1. 在策略构建器中，选择 Autonomous Recovery Service 作为策略用例。
2. 选择策略模板或使用策略构建器中的手动编辑器添加策略语句。（请参阅表 2-4 、表 2-5 和表 2-6 ）

表 2-4 能够对自治恢复服务策略模板执行所有操作的其他权限

策略语句	创建位置	用途
Allow service database to manage tagnamespace in tenancy	根区间	使 OCI 数据库服务能够访问租户中的标记名称空间。 如果分配此权限，则受保护数据库可以从源数据库继承标记。
Allow group admin to manage recovery-service-family in tenancy	根区间	允许指定组中的用户访问所有恢复服务资源。属于指定组的用户可以管理受保护数据库、保护策略和恢复服务子网。

表 2-5 允许用户在自治恢复服务中管理保护策略

策略语句	创建位置	用途
Allow group {group name} to manage recovery-service-policy in compartment {location}	拥有保护策略的区间。	允许指定组中的所有用户在恢复服务中创建、更新和删除保护策略。

请考虑此示例。

此策略向 RecoveryServiceUser 组授予在 ABC 区间中创建、更新和删除保护策略的权限。

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

允许用户管理自治恢复服务子网策略模板

表 2-6 允许用户管理自治恢复服务子网

策略语句	创建位置	用途
Allow Group {group name} to manage recovery-service-subnet in compartment {location}	恢复服务子网所属的区间。	允许指定组中的所有用户创建、更新和删除恢复服务子网。

请考虑此示例。

此策略向 RecoveryServiceAdmin 组授予管理 ABC 区间中恢复服务子网的权限。

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

Oracle Multicloud 数据库使用恢复服务所需的权限

分配 Recovery Service IAM 策略，以允许 Oracle Multicloud 数据库将备份发送到 Recovery Service。

在策略构建器中，选择 Autonomous Recovery Service 作为策略用例，然后分配与 Oracle Multicloud 数据库相关的其中一个策略。

表 2-7：Oracle Multicloud 数据库恢复服务策略

Oracle Multicloud 服务	恢复服务策略模板和语句
Oracle Database@Azure	允许 Oracle Database@Azure 使用自治恢复服务进行备份 Allow service database to manage tagnamespace in tenancy Allow group admin to manage recovery-service-family in tenancy Allow service database to use organizations-assigned-subscription in tenancy where target.subscription.serviceName = 'ORACLEDBATAZURE' ORACLEDBATAZURE 指示 Oracle Database@Azure 的服务名。
Oracle Database@Google Cloud	允许 Oracle Database@Google Cloud 使用自治恢复服务进行备份 Allow service database to manage tagnamespace in tenancy Allow group admin to manage recovery-service-family in tenancy Allow service database to use organizations-assigned-subscription in tenancy where target.subscription.serviceName = 'ORACLEDBATGOOGLE' ORACLEDBATGOOGLE 指示 Oracle Database@Google Cloud 的服务名。
Oracle Database@AWS	对于现有 OCI 租户，请使用策略构建器的手动编辑器添加 Oracle Database@AWS 备份到恢复服务所需的这些策略语句。对于新的 OCI 租户，默认情况下会分配这些权限。 Allow service database to manage tagnamespace in tenancy Allow group admin to manage recovery-service-family in tenancy Allow service database to use organizations-assigned-subscription in tenancy where target.subscription.serviceName = 'ORACLEDBATAWS' ORACLEDBATAWS 指示 Oracle Database@AWS 的服务名称。

为恢复服务配置网络资源

在数据库 VCN 中为 Recovery Service 操作创建或使用现有的仅 IPv4 子网。定义安全规则来控制数据库与恢复服务之间的备份流量。

注意：

对于 Oracle Multicloud 数据库，请确保将备份子网注册为恢复服务子网。建议的子网大小为 /24 。

Recovery Service 支持以下 Oracle Multicloud 数据库服务：

• Oracle Database@Azure
• Oracle Database@Google Cloud
• Oracle Database@AWS

  网络端口 2484 和 8005 启用 Oracle Database@AWS 与 Recovery Service 之间的网络连接。在现有 OCI 租户中，确保打开网络端口 2484 和 8005 。在新的 OCI 租户中，默认情况下会为 Oracle Database@AWS 打开相同的网络端口。

  将 Oracle Database@AWS 资源注册到 Recovery Service 时，该服务会自动将备份子网注册为 Recovery Service 子网。您可以使用服务自动注册的默认恢复服务子网，也可以使用注册您自己的恢复服务子网。

• 关于使用专用子网进行恢复服务操作
  恢复服务需要数据库所在的同一虚拟云网络 (VCN) 中的专用子网。专用子网必须包含安全规则才能控制数据库与恢复服务之间的备份网络。
• 查看配置子网的网络服务权限
  确保您具有在数据库 VCN 中创建子网并为恢复服务分配安全规则所需的这些网络服务权限。
• 恢复服务子网的子网大小和安全规则
  需要安全规则才能允许数据库与恢复服务之间的备份通信。
• 在数据库 VCN 中创建恢复服务子网
  使用 OCI 控制台为数据库虚拟云网络 (VCN) 中的恢复服务配置专用子网。

关于使用专用子网执行恢复服务操作

恢复服务需要数据库所在的同一虚拟云网络 (VCN) 中的专用子网。专用子网必须包含安全规则才能控制数据库与恢复服务之间的备份网络。

针对数据库 VCN 中恢复服务子网的建议

• 数据库 VCN 必须具有单个专用子网，才能备份到恢复服务。专用子网必须位于数据库所在的同一 VCN 中。
• 为数据库 VCN 中的恢复服务选择仅限 IPv4 的子网。请勿选择启用了 IPv6 的子网，因为恢复服务不支持使用启用了 IPv6 的子网。请参阅创建子网以了解详细信息。
• 建议的子网大小为 /24 （256 个 IP 地址）。

  恢复服务动态分配所需数量的空闲 IP 地址以支持专用端点。如果对可用空闲 IP 地址数有任何限制，则使用最小 /27 子网大小（允许 32 个 IP 地址）。

  您可以创建新的专用子网，也可以选择数据库 VCN 中现有的任何（建议大小）子网。

  对于 Oracle Exadata Database Service on Dedicated Infrastructure，默认情况下，备份子网用于 Recovery Service 操作。对于 Oracle Base Database Service，数据库子网还用于备份到恢复服务。

• 启用自动备份到自治恢复服务时，该服务会自动将专用子网注册为恢复服务子网。您可以使用自动注册的恢复服务子网，也可以注册自己的恢复服务子网。

  如果已使用网络安全组 (NSG) 定义安全规则，则必须注册 Recovery Service 子网并将 NSG（最多五个）与 Recovery Service 子网关联。

  对于 Oracle Multicloud 数据库，必须通过关联 NSG 来注册 Recovery Service 子网。

  有关详细信息，请参见 Register a Recovery Service Subnet 。

• 如果 Recovery Service 子网包含的可用 IP 地址数不足，则 Recovery Service 在您尝试添加新数据库时会发出警报消息。在此方案中，您可以通过将多个子网关联到恢复服务子网来添加 IP 地址。
• 您的 Oracle Cloud 数据库可以位于 Recovery Service 使用的同一专用子网中，也可以位于同一 VCN 中的其他子网中。

注意：

Oracle 建议使用专用子网备份到恢复服务。但是，可以使用公共子网。

为恢复服务子网实施安全规则

数据库 VCN 需要安全规则来允许在数据库与恢复服务之间进行备份通信。

恢复服务子网的安全规则必须包括有状态入站规则，以允许目标端口 8005 和 2484。

使用以下网络服务功能实现安全规则：

• 安全列表

  通过安全列表，您可以在子网级别添加安全规则。

  在数据库 VCN 中，选择用于恢复服务子网的安全列表，并添加入站规则以允许目标端口 8005 和 2484。

• 网络安全组 (NSG)
  通过网络安全组 (NSG)，可以对应用于 VCN 中各个 VNIC 的安全规则进行细粒度控制。恢复服务支持以下选项来使用 NSG 配置安全规则：

  • 使用出站规则为数据库 VNIC 创建一个 NSG，以允许端口 2484 和 8005。使用入站规则为 Recovery Service 添加单独的 NSG，以允许端口 2484 和 8005。如果要实现网络隔离，请使用此方法。
  • 为数据库 VNIC 和恢复服务创建并使用单个 NSG（包含出站和入站规则）。

注意：

• 如果您使用网络安全组 (NSG) 实施安全规则，或者数据库 VCN 限制子网之间的网络流量，请确保为从数据库 NSG 或子网到您创建的恢复服务 NSG 或子网的端口 2484 和 8005 添加出站规则。
• 如果您创建了用于实施安全规则的 NSG，则还必须确保将恢复服务 NSG 与恢复服务子网关联。有关详细信息，请参见 Registering the Recovery Service Subnet 。
• 如果您在数据库 VCN 中配置了安全列表和 NSG，则 NSG 中定义的规则优先于安全列表中定义的规则。

要了解更多信息，请参见 Comparison of Security Lists and Network Security Groups 。

查看配置子网的网络服务权限

确保您具有在数据库 VCN 中创建子网并为恢复服务分配安全规则所需的这些网络服务权限。

表 2-8 创建专用子网和配置恢复服务安全规则所需的网络服务权限

操作	必需的 IAM 策略
在数据库 VCN 中配置专用子网	use vcns 表示 VCN 所在的区间 use subnets 表示 VCN 所在的区间 manage private-ips 表示 VCN 所在的区间 manage vnics 表示 VCN 所在的区间 管理数据库预配或要预配到的区间的 vnics

或者，您可以创建允许对网络组件具有更广泛访问权限的指定组的策略。

例如，使用此策略可以允许 NetworkAdmin 组管理租户中任何区间中的所有网络。

面向网络管理员的示例 2-1 策略

Allow group NetworkAdmin to manage virtual-network-family in tenancy

恢复服务子网的子网大小和安全规则

安全规则对于允许数据库与恢复服务之间的备份流量是必需的。

注意：

• 为数据库 VCN 中的恢复服务选择仅限 IPv4 的子网。请勿选择启用了 IPv6 的子网，因为恢复服务不支持使用启用了 IPv6 的子网。请参阅创建子网以了解详细信息。
• 对于 Oracle Multicloud 数据库，必须使用网络安全组 (NSG) 配置安全规则。NSG 控制恢复服务子网的流量，并且必须包含有状态入站规则才能允许目标端口 8005 和 2484。

表 2-9：恢复服务子网的子网大小和安全规则

项	要求
建议的子网大小	/24 (256 IP 地址 如果对可用空闲 IP 地址数有任何限制，则使用最小 /27 子网大小（允许 32 个 IP 地址）。
一般入站规则 1： 允许来自任何位置的 HTTPS 流量	此规则允许从 Oracle Cloud Infrastructure Database 到 Recovery Service 的备份流量。 无状态：否（所有规则都必须有状态） 源类型：CIDR 源 CIDR ：数据库所在的 VCN 的 CIDR IP 协议：TCP Source Port Range ：全部 目的地端口范围： 8005
一般入站规则 2： 允许来自任何位置的 SQLNet 流量	此规则允许从 Oracle Cloud Infrastructure Database 到 Recovery Service 的恢复目录连接和实时数据保护。 无状态：否（所有规则都必须有状态） 源类型：CIDR 源 CIDR ：数据库所在的 VCN 的 CIDR IP 协议：TCP Source Port Range ：全部 目的地端口范围： 2484

注意：

如果您使用网络安全组 (NSG) 实施安全规则，或者如果数据库 VCN 限制了子网之间的网络流量，请确保将端口 2484 和 8005 的出站规则从数据库 NSG 或子网添加到您创建的恢复服务 NSG 或子网。

在数据库 VCN 中创建恢复服务子网

使用 OCI 控制台为数据库虚拟云网络 (VCN) 中的恢复服务配置专用子网。

注意：

对于 Oracle Multicloud 数据库，请确保将备份子网注册为恢复服务子网。建议的子网大小为 /24 。

Recovery Service 支持以下 Oracle Multicloud 数据库服务：

• Oracle Database@Azure
• Oracle Database@Google Cloud
• Oracle Database@AWS

  网络端口 2484 和 8005 启用 Oracle Database@AWS 与 Recovery Service 之间的网络连接。在现有 OCI 租户中，确保打开网络端口 2484 和 8005 。在新的 OCI 租户中，默认情况下会为 Oracle Database@AWS 打开相同的网络端口。

  将 Oracle Database@AWS 资源注册到 Recovery Service 时，该服务会自动将备份子网注册为 Recovery Service 子网。您可以使用服务自动注册的默认恢复服务子网，也可以使用注册您自己的恢复服务子网。

1. 在导航菜单中，选择网络，然后选择虚拟云网络以显示虚拟云网络列表页。
2. 选择数据库所在的 VCN。
3. 使用以下步骤创建具有安全列表的恢复服务子网。如果要使用网络安全组，请继续执行步骤 4 。
   1. 在虚拟云网络的详细信息页面上，选择安全性选项卡。
   2. 在安全列表下，选择用于 VCN 的安全列表。
   3. 在安全列表的详细信息页上，选择安全规则选项卡。
      必须添加两个入站规则，以允许目标端口 8005 和 2484 。
   4. 选择添加入站规则并添加以下详细信息以设置有状态入站规则，该规则允许 HTTPS 流量从任何位置：
      • Source Type（源类型）： CIDR
      • 源 CIDR ：指定数据库所在的 VCN 的 CIDR。
      • IP 协议： TCP
      • Source Port Range : All
      • 目的地端口范围： 8005
      • 说明：指定入站规则的可选说明以帮助管理安全规则。
   5. 选择 +Another 入站规则并添加这些详细信息，以设置允许 SQLNet 通信从任何位置的状态入站规则：
      • Source Type（源类型）： CIDR
      • 源 CIDR ：指定数据库所在的 VCN 的 CIDR。
      • IP 协议： TCP 。
      • Source Port Range : All
      • 目的地端口范围： 2484。
      • 说明：指定入站规则的可选说明以帮助管理安全规则。

      注意：

      为数据库 VCN 中的恢复服务选择仅限 IPv4 的子网。请勿选择启用了 IPv6 的子网，因为恢复服务不支持使用启用了 IPv6 的子网。请参阅创建子网以了解详细信息。
      有关详细信息，请参阅恢复服务子网的子网大小和安全规则。
   6. 选择添加入站规则。
   7. 在虚拟云网络页的详细信息页上，选择子网选项卡，然后选择创建子网。
   8. 创建专用子网或选择数据库 VCN 中已经存在的专用子网。Oracle 建议为专用子网设置 /24 的子网大小（256 个 IP 地址）。
   9. 在子网的详细信息页面上，选择安全性选项卡。在安全列表下，添加包含入站规则的安全列表，以允许目标端口 8005 和 2484。

      注意：

      如果数据库 VCN 限制子网之间的网络流量，请确保将端口 2484 和 8005 的出站规则从数据库子网添加到您创建的恢复服务子网。
4. 使用以下步骤创建具有网络安全组 (NSG) 的恢复服务子网。
   1. 在虚拟云网络的详细信息页面上，选择安全选项卡并转至网络安全组部分。
   2. 选择创建网络安全组。
      使用以下受支持的方法之一使用 NSG 配置安全规则：

      • 要实施网络隔离，请为数据库 VNIC 创建一个 NSG（添加出站规则以允许端口 2484 和 8005）和单独的 NSG for Recovery Service（用于允许端口 2484 和 8005 的入站规则）。
      • 为数据库 VNIC 和恢复服务创建并使用单个 NSG（包含出站和入站规则）。
      “网络安全组”页面列出了您创建的 NSG。

   注意：

   有关其他配置详细信息，请参阅相关的 OCI 数据库服务文档。

注意：

• 对于 OCI 数据库，Recovery Service 会自动注册默认 Recovery Service 子网。

  您可以使用默认恢复服务子网或注册自己的恢复服务子网。

• 如果您已使用 NSG 实施安全规则，或者您的目标数据库是 Oracle Multicloud 数据库，则必须通过添加恢复服务 NSG（最多五个）来注册恢复服务子网。
• Oracle 建议每个 VCN 仅注册一个恢复服务子网。

注册恢复服务子网络

使用此过程注册恢复服务子网。

注意：

在注册恢复服务子网之前：

• 确保打开这些网络端口并配置恢复服务的安全规则。
  • 端口 2484 - 启用与 Recovery Service 使用的 RMAN 目录的 SQL*Net 连接。
  • 端口 8005 - 允许从数据库到恢复服务的备份流量。
• 确保您已查看并确认了恢复服务的必备要求核对清单中所述的必备先决条件。
• 确保在数据库 VCN 中为 Recovery Service 操作选择仅 IPv4 子网。请勿选择启用了 IPv6 的子网，因为恢复服务不支持使用启用了 IPv6 的子网。
• 对于部署在 OCI 中的 Oracle 数据库，如果您的备份子网满足建议的子网大小（至少 12 个免费 IP 地址），则 Recovery Service 会自动注册 Recovery Service 子网。如果要替换恢复服务注册的子网，请使用 Add or Replace Subnets for a Recovery Service Subnet 中所述的步骤。
• 对于 Oracle Multicloud 数据库，必须将备份子网与 NSG 一起注册为恢复服务子网，如第 8 步中所述。建议的子网大小为 /24 。
  Recovery Service 支持以下 Oracle Multicloud 数据库服务：

  • Oracle Database@Azure
  • Oracle Database@Google Cloud
  • Oracle Database@AWS

    网络端口 2484 和 8005 启用 Oracle Database@AWS 与 Recovery Service 之间的网络连接。在现有 OCI 租户中，确保打开网络端口 2484 和 8005 。在新的 OCI 租户中，默认情况下会为 Oracle Database@AWS 打开相同的网络端口。

    将 Oracle Database@AWS 资源注册到 Recovery Service 时，该服务会自动将备份子网注册为 Recovery Service 子网。您可以使用服务已注册的默认恢复服务子网，也可以使用本节中提供的步骤来注册您自己的恢复服务子网。

  确保将恢复服务网络安全组 (NSG) 添加到恢复服务子网。
• 多个受保护数据库可以使用同一 Recovery Service 子网。为了确保所需数量的 IP 地址可用于支持恢复服务专用端点，您可以将多个子网分配给由多个受保护数据库使用的恢复服务子网。

1. 在恢复服务子网列表页上，选择注册恢复服务子网。有关访问列表页的详细步骤，请参阅列出恢复服务子网。
2. 输入 Recovery Service 子网的名称。避免在名称字段中输入机密信息。
3. 验证要在其中创建恢复服务子网的区间。如有必要，可使用在区间中创建字段选择其他区间。
4. 选择包含要使用的虚拟云网络 (VCN) 的区间。一次只能从一个区间中选择 VCN
5. 选择虚拟云网络。
6. 在子网下，选择以下选项：
   1. 选择包含要使用的专用子网的区间。
   2. 选择在所选 VCN 中为恢复服务操作配置的子网。
7. （可选）选择 +Another 子网以将附加子网分配给恢复服务子网。
   如果单个子网没有足够的 IP 地址来支持恢复服务专用端点，则可以分配多个子网。
   有关详细信息，请参见 About Using a Private Subnet for Recovery Service Operations 。
8. 展开高级选项以配置以下选项：
   • 网络安全组

     如果您已使用网络安全组 (NSG) 在数据库 VCN 中为恢复服务实施安全规则，或者您的目标数据库是 Oracle Multicloud 数据库，则必须将恢复服务 NSG 添加到恢复服务子网。恢复服务 NSG 可以位于同一区间或其他区间中。但是，NSG 必须属于指定子网所属的同一 VCN。

     1. 在 Network Security Groups 部分中，选择 Use network security groups to control traffic 。
     2. 选择已在数据库 VCN 中创建的恢复服务 NSG。
     3. 选择 +Another 网络安全组可关联多个 NSG（最多五个）。

     注意：

     对于 Oracle Multicloud 数据库（例如 Oracle Database@Azure 、Oracle Database@Google Cloud 和 Oracle Database@AWS ），必须通过关联网络安全组 (NSG) 来注册 Recovery Service 子网。

   • 标记：（可选）向资源添加一个或多个标记。如果您有权创建资源，则还有权对该资源应用自由格式的标记。要应用定义的标记,您必须有权使用标记名称空间。有关标记的更多信息，请参见 Resource Tags（资源标记）”。如果您不确定是否应用标记，请跳过此选项或询问管理员。您可以稍后应用标记。

9. 选择注册。

   注意：

   恢复服务子网必须至少与属于数据库 VCN 的一个子网关联。

您可以替换子网或添加更多子网以支持所需数量的专用端点。有关详细信息，请参见 Add or Replace Subnets for a Recovery Service Subnet 。

有关将 NSG 添加到现有恢复服务子网的详细步骤，请参见 Associate NSGs to a Recovery Service Subnet 。

管理恢复服务资源的方法

在 Oracle Cloud Infrastructure (OCI) 中，您可以使用各种接口来创建和管理恢复服务资源，以满足您不同的管理用例。

接口	更多信息
OCI 控制台	使用 Console
应用编程接口 (Application Programming Interface, API)	Oracle Database Autonomous Recovery Service API
命令行接口 (CLI)	使用 CLI