2 将 Oracle Database 引入 Recovery Service
使用核对清单查看强制性要求,并计划将您的 Oracle Cloud Database 或 Oracle Multicloud Database 引入恢复服务。
- 恢复服务的必备要求核对清单
使用此核对清单可以验证将 Oracle Database 注册到恢复服务的必备先决条件。 - 恢复服务的可选配置核对清单
您可以选择为恢复服务配置这些附加选项。 - 恢复服务资源限制
服务限制是对资源设置的限额或限额。自治恢复服务对受保护数据库的数量和备份存储空间利用率具有最大限制。限制适用于每个区域。 - OCI 中 Oracle 数据库的可选权限
默认情况下,OCI 中的 Oracle 数据库具有访问恢复服务的权限。该服务还可以访问数据库 VCN 中的网络资源。您可以选择为 OCI 数据库分配其他和可选权限,如本主题所述。 - Oracle Multicloud 数据库使用恢复服务所需的权限
您必须分配 Oracle Database@Azure 或 Oracle Database@Google Cloud 所需的权限才能使用 Recovery Service 进行备份。 - 为恢复服务配置网络资源
为数据库 VCN 中的恢复服务操作创建或使用现有的仅 IPv4 子网。定义安全规则来控制数据库与恢复服务之间的备份流量。 - 注册恢复服务子网
使用此过程注册恢复服务子网。 - 管理恢复服务资源的方法
在 Oracle Cloud Infrastructure (OCI) 中,您可以使用各种接口来创建和管理恢复服务资源,以适应不同的管理用例。
恢复服务的必备需求核对清单
使用此核对清单验证将 Oracle Database 登记到恢复服务的必备先决条件。
注意:
到两个不同备份目的地的运行备份可能会造成数据丢失的情况。因此,在启用自动备份到恢复服务之前,必须禁用手动备份脚本和进程到其他存储目的地。表 2-1 将数据库引入恢复服务的必需要求
Check | 任务 |
---|---|
恢复服务使用的端口 |
您必须打开这些网络端口并配置恢复服务的安全规则。
|
恢复服务的安全规则 |
使用安全列表或网络安全组 (NSG) 配置安全规则。
|
目标数据库兼容性级别 |
19.0.0 或更高版本 确保将目标数据库兼容性级别( |
支持的 Oracle Database 发行版 |
您可以使用 Autonomous Recovery Service 作为 Oracle Cloud 数据库和预配了以下任一发行版的 Oracle Multicloud 数据库的备份目的地:
|
恢复服务资源限制 |
如果需要,请确保恢复服务资源限制足够,并请求提高服务限制。 对于 Oracle Multicloud 数据库,您必须从 OCI 控制台的限额、限额和使用量页面查看和调整特定于多云订阅的限制。
注意: 如果您未选择多云订阅,则增加的限制将应用于 OCI 资源。有关详细信息,请参阅恢复服务资源限制。 |
恢复服务 IAM 策略 |
|
OCI 中 Oracle 数据库的恢复服务子网 |
对于 OCI 数据库(例如 Oracle Exadata Database Service on Dedicated Infrastructure 和 Oracle Base Database Service),Recovery Service 在您启用自动备份时会自动注册 Recovery Service 子网。
选择以下选项之一:
|
Oracle Multicloud 数据库的恢复服务子网 |
对于 Oracle Database@Azure 和 Oracle Database@Google Cloud ,请确保通过关联网络安全组 (NSG) 将备份子网注册为恢复服务子网。建议的子网大小为 /24。 |
恢复服务的可选配置核对清单
您可以选择为恢复服务配置这些附加选项。
表 2-2 恢复服务的可选配置核对清单
Check | 更多信息 |
---|---|
保护策略选项 |
|
用于管理恢复服务资源的 IAM 用户和组 |
作为租户管理员,您可以创建 IAM 用户和组来管理 Recovery Service 相关任务。 然后,您可以为组分配恢复服务策略语句。例如,创建一个名为 |
恢复服务资源限制
服务限制是对资源设置的定额或限额。自治恢复服务对受保护数据库的数量和备份存储空间利用率具有最大限制。限制适用于每个区域。
表 2-3 自治恢复服务资源限制
资源 | Oracle 通用储值 | Pay As You Go 或试用版 |
---|---|---|
自治恢复服务保护的数据库计数 |
||
用于恢复窗口的自治恢复服务空间 (GB) |
使用控制台查看当前的服务限制和使用信息,并在必要时请求提高资源限制。
OCI 中 Oracle 数据库的可选权限
默认情况下,OCI 中的 Oracle 数据库分配有访问恢复服务的权限。该服务还可以访问数据库 VCN 中的网络资源。您可以选择为 OCI 数据库分配其他和可选权限,如本主题所述。
注意:
Recovery Service 为 Oracle Database@Azure 和 Oracle Database@Google Cloud 提供单独的策略模板。如果要为 Oracle Multicloud 数据库配置恢复服务,请跳过本部分,然后转至Oracle Multicloud 数据库使用恢复服务所需的权限。表 2-4 能够对自治恢复服务策略模板执行所有操作的其他权限
策略语句 | 创建位置 | 用途 |
---|---|---|
|
根区间 |
使 OCI 数据库服务能够访问租户中的标记名称空间。 如果分配此权限,则受保护数据库可以从源数据库继承标记。 |
|
根区间 |
允许指定组中的用户访问所有恢复服务资源。属于指定组的用户可以管理受保护数据库、保护策略和恢复服务子网。 |
表 2-5 允许用户在自治恢复服务中管理保护策略
策略语句 | 创建位置 | 用途 |
---|---|---|
|
拥有保护策略的区间。 |
允许指定组中的所有用户在恢复服务中创建、更新和删除保护策略。 |
请考虑此示例。
RecoveryServiceUser
组授予在 ABC
区间中创建、更新和删除保护策略的权限。Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC
允许用户管理自治恢复服务子网策略模板
表 2-6 允许用户管理自治恢复服务子网
策略语句 | 创建位置 | 用途 |
---|---|---|
|
恢复服务子网所属的区间。 |
允许指定组中的所有用户创建、更新和删除恢复服务子网。 |
请考虑此示例。
RecoveryServiceAdmin
组授予管理 ABC
区间中恢复服务子网的权限。Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC
Oracle Multicloud 数据库使用恢复服务所需的权限
您必须分配 Oracle Database@Azure 或 Oracle Database@Google Cloud 所需的权限,才能使用 Recovery Service 进行备份。
允许 Oracle Database@Azure 使用自治恢复服务进行备份
此策略模板包括 Oracle Database@Azure 使用恢复服务进行备份所需的这些策略语句。
Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy
where target.subscription.serviceName = 'ORACLEDBATAZURE'
ORACLEDBATAZURE
指示 Oracle Database@Azure 的服务名。
允许 Oracle Database@Google Cloud 使用自治恢复服务进行备份
此策略模板包括 Oracle Database@Google Cloud 使用恢复服务进行备份所需的这些策略语句。
Allow service database to manage tagnamespace in tenancy
Allow group admin to manage recovery-service-family in tenancy
Allow service database to use organizations-assigned-subscription in tenancy where
target.subscription.serviceName = 'ORACLEDBATGOOGLE'
ORACLEDBATGOOGLE
指示 Oracle Database@Google Cloud 的服务名。
有关使用 Recovery Service 进行 Oracle Multicloud Database 备份的详细信息,请参阅多云 Oracle Database Backup Support 。
为恢复服务配置网络资源
在数据库 VCN 中为 Recovery Service 操作创建或使用现有的仅 IPv4 子网。定义安全规则来控制数据库与恢复服务之间的备份流量。
- 关于使用专用子网进行恢复服务操作
恢复服务需要数据库所在的同一虚拟云网络 (VCN) 中的专用子网。专用子网必须包含安全规则才能控制数据库与恢复服务之间的备份网络。 - 查看配置子网的网络服务权限
确保您具有在数据库 VCN 中创建子网并为恢复服务分配安全规则所需的这些网络服务权限。 - 恢复服务子网的子网大小和安全规则
需要安全规则才能允许数据库与恢复服务之间的备份通信。 - 在数据库 VCN 中创建恢复服务子网
使用 OCI 控制台为数据库虚拟云网络 (VCN) 中的恢复服务配置专用子网。
关于使用专用子网执行恢复服务操作
恢复服务需要数据库所在的同一虚拟云网络 (VCN) 中的专用子网。专用子网必须包含安全规则才能控制数据库与恢复服务之间的备份网络。
针对数据库 VCN 中恢复服务子网的建议
- 数据库 VCN 必须具有单个专用子网,才能备份到恢复服务。专用子网必须位于数据库所在的同一 VCN 中。
- 为数据库 VCN 中的恢复服务选择仅限 IPv4 的子网。请勿选择启用了 IPv6 的子网,因为恢复服务不支持使用启用了 IPv6 的子网。请参阅创建子网以了解详细信息。
- 建议的子网大小为 /24 (256 个 IP 地址)。
恢复服务动态分配所需数量的空闲 IP 地址以支持专用端点。如果对可用空闲 IP 地址数有任何限制,则使用最小 /27 子网大小(允许 32 个 IP 地址)。
您可以创建新的专用子网,也可以选择数据库 VCN 中现有的任何(建议大小)子网。
对于 Oracle Exadata Database Service on Dedicated Infrastructure,默认情况下,备份子网用于 Recovery Service 操作。对于 Oracle Base Database Service,数据库子网还用于备份到恢复服务。
- 启用自动备份到自治恢复服务时,该服务会自动将专用子网注册为恢复服务子网。您可以使用自动注册的恢复服务子网,也可以注册自己的恢复服务子网。
如果已使用网络安全组 (NSG) 定义安全规则,则必须注册 Recovery Service 子网并将 NSG(最多五个)与 Recovery Service 子网关联。
对于 Oracle Multicloud 数据库,必须通过关联 NSG 来注册 Recovery Service 子网。
有关详细信息,请参见 Register a Recovery Service Subnet 。
- 如果 Recovery Service 子网包含的可用 IP 地址数不足,则 Recovery Service 在您尝试添加新数据库时会发出警报消息。在此方案中,您可以通过将多个子网关联到恢复服务子网来添加 IP 地址。
- 您的 Oracle Cloud 数据库可以位于 Recovery Service 使用的同一专用子网中,也可以位于同一 VCN 中的其他子网中。
注意:
Oracle 建议使用专用子网备份到恢复服务。但是,可以使用公共子网。为恢复服务子网实施安全规则
数据库 VCN 需要安全规则来允许在数据库与恢复服务之间进行备份通信。
恢复服务子网的安全规则必须包括有状态入站规则,以允许目标端口 8005 和 2484。
- 安全列表
通过安全列表,您可以在子网级别添加安全规则。
在数据库 VCN 中,选择用于恢复服务子网的安全列表,并添加入站规则以允许目标端口 8005 和 2484。
- 网络安全组 (NSG)通过网络安全组 (NSG),可以对应用于 VCN 中各个 VNIC 的安全规则进行细粒度控制。恢复服务支持以下选项来使用 NSG 配置安全规则:
- 使用出站规则为数据库 VNIC 创建一个 NSG,以允许端口 2484 和 8005。使用入站规则为 Recovery Service 添加单独的 NSG,以允许端口 2484 和 8005。如果要实现网络隔离,请使用此方法。
- 为数据库 VNIC 和恢复服务创建并使用单个 NSG(包含出站和入站规则)。
注意:
- 如果您使用网络安全组 (NSG) 实施安全规则,或者数据库 VCN 限制子网之间的网络流量,请确保为从数据库 NSG 或子网到您创建的恢复服务 NSG 或子网的端口 2484 和 8005 添加出站规则。
- 如果您创建了用于实施安全规则的 NSG,则还必须确保将恢复服务 NSG 与恢复服务子网关联。有关详细信息,请参见 Registering the Recovery Service Subnet 。
- 如果您在数据库 VCN 中配置了安全列表和 NSG,则 NSG 中定义的规则优先于安全列表中定义的规则。
要了解更多信息,请参见 Comparison of Security Lists and Network Security Groups 。
相关主题
父主题:为恢复服务配置网络资源
查看配置子网的网络服务权限
确保您具有在数据库 VCN 中创建子网并为恢复服务分配安全规则所需的这些网络服务权限。
表 2-7:创建专用子网和配置恢复服务安全规则所需的网络服务权限
操作 | 必需的 IAM 策略 |
---|---|
在数据库 VCN 中配置专用子网 |
|
或者,您可以创建允许对网络组件具有更广泛访问权限的指定组的策略。
例如,使用此策略可以允许 NetworkAdmin
组管理租户中任何区间中的所有网络。
面向网络管理员的示例 2-1 策略
Allow group NetworkAdmin to manage virtual-network-family in tenancy
父主题:为恢复服务配置网络资源
恢复服务子网的子网大小和安全规则
安全规则对于允许数据库与恢复服务之间的备份流量是必需的。
注意:
- 为数据库 VCN 中的恢复服务选择仅限 IPv4 的子网。请勿选择启用了 IPv6 的子网,因为恢复服务不支持使用启用了 IPv6 的子网。请参阅创建子网以了解详细信息。
- 对于 Oracle Multicloud 数据库,必须使用网络安全组 (NSG) 配置安全规则。NSG 控制恢复服务子网的流量,并且必须包含有状态入站规则才能允许目标端口 8005 和 2484。
表 2-8:恢复服务子网的子网大小和安全规则
项 | 要求 |
---|---|
建议的子网大小 |
/24 (256 IP 地址 如果对可用空闲 IP 地址数有任何限制,则使用最小 /27 子网大小(允许 32 个 IP 地址)。 |
一般入站规则 1: 允许来自任何位置的 HTTPS 流量 |
此规则允许从 Oracle Cloud Infrastructure Database 到 Recovery Service 的备份流量。
|
一般入站规则 2: 允许来自任何位置的 SQLNet 流量 |
此规则允许从 Oracle Cloud Infrastructure Database 到 Recovery Service 的恢复目录连接和实时数据保护。
|
注意:
如果您使用网络安全组 (NSG) 实施安全规则,或者如果数据库 VCN 限制了子网之间的网络流量,请确保将端口 2484 和 8005 的出站规则从数据库 NSG 或子网添加到您创建的恢复服务 NSG 或子网。父主题:为恢复服务配置网络资源
在数据库 VCN 中创建恢复服务子网
使用 OCI 控制台为数据库虚拟云网络 (VCN) 中的恢复服务配置专用子网。
注意:
- 对于 OCI 数据库,Recovery Service 会自动注册默认 Recovery Service 子网。
您可以使用默认恢复服务子网或注册自己的恢复服务子网。
- 如果您已使用 NSG 实施安全规则,或者您的目标数据库是 Oracle Multicloud 数据库,则必须通过添加恢复服务 NSG(最多五个)来注册恢复服务子网。
- Oracle 建议每个 VCN 仅注册一个恢复服务子网。
父主题:为恢复服务配置网络资源
注册恢复服务子网络
使用此过程注册恢复服务子网。
注意:
在注册恢复服务子网之前:
- 确保打开这些网络端口并配置恢复服务的安全规则。
- 端口 2484 - 启用与 Recovery Service 使用的 RMAN 目录的 SQL*Net 连接。
- 端口 8005 - 允许从数据库到恢复服务的备份流量。
- 确保您已查看并确认了恢复服务的必备要求核对清单中所述的必备先决条件。
- 确保在数据库 VCN 中为 Recovery Service 操作选择仅 IPv4 子网。请勿选择启用了 IPv6 的子网,因为恢复服务不支持使用启用了 IPv6 的子网。
- 对于部署在 OCI 中的 Oracle 数据库,如果您的备份子网满足建议的子网大小(至少 12 个免费 IP 地址),则 Recovery Service 会自动注册 Recovery Service 子网。如果要替换恢复服务注册的子网,请使用 Add or Replace Subnets for a Recovery Service Subnet 中所述的步骤。
- 对于 Oracle Database@Azure 和 Oracle Database@Google Cloud ,必须通过关联网络安全组 (NSG) 来注册 Recovery Service 子网。
- 多个受保护数据库可以使用同一 Recovery Service 子网。为了确保所需数量的 IP 地址可用于支持恢复服务专用端点,您可以将多个子网分配给由多个受保护数据库使用的恢复服务子网。