1. Configure Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure
  2. Configure Oracle Data Guard for Oracle Exadata Database Service on Dedicated Infrastructure

Oracle Exadata Database Service on Dedicated Infrastructure 配置 Oracle Data Guard

适用于 Oracle Exadata Database Service on Dedicated InfrastructureData Guard 支持用于透明数据加密 (Transparent Data Encryption,TDE) 的 Oracle 管理密钥和客户管理的密钥。Oracle 管理的密钥使用基于密码的钱包来存储和管理 TDE 密钥,而客户管理的密钥则允许您在 OCI Vault 中存储和管理 TDE 密钥。默认情况下,Oracle Exadata Database Service on Dedicated Infrastructure 使用 Oracle 管理的密钥。

验证安全策略和动态组

如果数据库使用 OCI Vault 存储客户管理的密钥,则必须按照下面的步骤来验证所有必需的安全策略和动态组是否已正确配置。如果数据库使用 Oracle 管理的密钥,则可以跳过此部分。

  1. 在 OCI 控制台中,导航到主菜单,然后单击身份与安全性
  2. 单击动态组
    在较新的租户上,单击,然后单击动态组
  3. 验证动态组是否配置了类似于以下内容的规则:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. 导航到身份和安全性,然后单击策略
    使用以下规则验证是否存在安全策略:
    Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

验证 OCI Vault 复制

如果您在两个区域之间配置 Oracle Data Guard ,并且数据库使用客户管理的密钥,则必须在两个区域之间复制虚拟专用 Vault。如果数据库使用 Oracle 管理的密钥,则可以跳过此部分。以下步骤介绍如何验证虚拟专用 Vault 是否在两个区域之间复制。

  1. 导航到 OCI 菜单,然后单击身份与安全性
  2. 单击 Vault
  3. 在可用 Vault 的列表中,验证列 Virtual Private 是否设置为 yes ,以便将 Vault 用于 Data Guard 关联中的数据库。
    如果 Vault 尚不存在,请单击 Create Vault 并为 Vault 提供名称。选择使其成为虚拟专用 Vault 选项,然后单击创建 Vault
  4. 验证虚拟专用 Vault 是否复制到将创建备用数据库的区域:
    1. 导航到 OCI 菜单,然后选择身份和安全性
    2. 单击 Vault
    3. 选择要用于 Data Guard 关联中的数据库的 Vault。
      如果为此 Vault 启用了 Vault 复制,则 Vault 页面将显示复制角色和复制详细信息。如果未显示复制信息,则不会复制该 Vault。
  5. 要将 Vault 复制到其他区域,请单击复制 Vault 。选择将在其中配置备用数据库的区域,然后单击创建副本
    该 Vault 将复制到其他区域,几分钟后即可创建 Data Guard 关联。
  6. 验证现有数据库的任何现有密钥是否已从源 Vault 复制到副本 Vault。
  7. 在源 Vault 上,为新数据库创建新密钥并验证它们是否复制到副本 Vault。

配置区域内 Oracle Data Guard

以下步骤介绍了如何为同一区域中的 Oracle Exadata Database Service on Dedicated Infrastructure 数据库启用 Oracle Data Guard

  1. 导航到 OCI 菜单,然后单击 Oracle Database
  2. 单击 Oracle Exadata Database Service on Dedicated Infrastructure
  3. 选择配置了 Oracle Exadata Database Service on Dedicated Infrastructure VM 集群的区间。
  4. 选择要配置有 Oracle Data Guard 的数据库的 VM 集群。
  5. 单击数据库名称以选择数据库。
  6. 在“资源”下,单击 Data Guard Associations
  7. 单击启用数据卫士
  8. 配置 Data Guard 选项:
    • 区域:默认情况下显示所选数据库的区域。此区域用于 Oracle Data Guard 配置。
    • 可用性域:默认显示所选数据库的可用性域。如果要将备用数据库配置在与主数据库相同的可用性域上,请使用此可用性域。否则,请选择其他可用性域。
    • 配置:选择运行备用数据库的 Oracle Exadata Database Service on Dedicated Infrastructure 的配置。
    • Data Guard 对等资源类型:选择 VM 集群。
    • VM 集群:选择将运行备用数据库的 VM 集群。如果备用数据库将在其他区间上的 VM 集群上运行,请选择对应的区间。默认情况下,选择了与主数据库相同的区间。
    • Data Guard 类型:选择 Data GuardActive Data Guard活动数据卫士可能需要额外的许可证。
    • 保护模式:选择“最大性能”或“最大可用性”。
    • 传输:根据保护模式选择同步或异步。如果保护模式为最大性能,则传输为异步。如果保护模式为“最大可用性”,则传输是同步的。
    • 数据库主目录:选择现有或创建新数据库主目录。如果选择现有,请确保数据库主目录运行与主数据库相同的 Oracle 数据库软件版本和补丁程序。如果创建新的数据库主目录,请确保备用 VM 集群上的默认映像与使用 dbaascli cswlib/dbaascli dbimage activateBP 的主数据库的数据库主目录版本相同。如果备用 VM 集群上的默认映像与主 VM 集群的数据库主目录的版本相同,则在创建备用数据库的新数据库主目录时,将使用与主数据库相同的 Oracle 数据库版本创建该主目录。
    • 数据库唯一名称:(可选)为对等备用数据库提供数据库唯一名称。如果未提供数据库唯一名称,则默认情况下 OCI 接口将自动为备用数据库配置数据库唯一名称。
    • 口令:为主数据库提供 sys 口令。使用 Oracle 管理的密钥时,sys 密码和 TDE Wallet 密码必须相同。
  9. 单击启用数据卫士
    等待工作请求完成。
将在备用 VM 集群中创建新的数据库。Data Guard 关联在主数据库和备用数据库之间创建。新数据库配置为备用数据库。

配置跨区域 Oracle Data Guard

以下步骤介绍了如何为不同区域中的 Oracle Exadata Database Service on Dedicated Infrastructure 数据库启用 Oracle Data Guard

  1. 在 OCI 租户中,选择配置主数据库的区域。
  2. 为配置了主数据库的 VCN 创建远程对等连接:
    1. 选择网络,然后选择虚拟云网络
    2. 选择客户连接
    3. 选择动态路由网关。选择现有动态路由网关 (DRG),或创建新的动态路由网关(如果尚不存在)。
    4. 从“动态路由网关”菜单中,选择虚拟云网络附件。创建虚拟云网络附件(如果尚不存在)。
    5. 从 "Dynamic Routing Gateway" 菜单中,选择 "Remote Peering Connection Attachments",然后单击 Create Remote Peering Connection 。输入 Remote Peering Connection 的名称,然后单击 Create Remote Peering Connection
      这将在对等连接状态下新建(非对等连接)创建远程对等连接附件。远程对等连接附件包括从主数据库的 VCN 到 DRG 的必需路由。
  3. 创建从主数据库的 VCN 到备用数据库的 VCN 的路由:
    1. 从 OCI 菜单中,选择网络,然后选择虚拟专用网络。为主数据库所在的区域选择 VCN。
    2. 从 VCN 菜单中,选择路由表,然后选择专用子网的路由表。
    3. 向将配置备用数据库的 VCN 添加路由。
      例如,如果将在 IP 地址为 10.1.0.0/16 的 VCN 中配置备用数据库,则使用 DRG 为目标 10.1.0.0/16 添加路由。
  4. 将入站安全规则添加到专用网络安全列表,以允许从配置备用数据库的网络连接到端口 1521(使用上面的示例,网络 10.1.0.0/16)。
  5. 选择将运行备用数据库的区域。
  6. 为将配置备用数据库的 VCN 创建远程对等连接:
    1. 从 OCI 菜单中选择网络,然后选择虚拟云网络
    2. 选择客户连接
    3. 选择动态路由网关,然后选择现有 DRG。如果尚不存在,请创建一个,然后选择新的 DRG。
    4. 从“动态路由网关”菜单中,选择“虚拟云网络附件”。如果 VCN 附件尚不存在,请创建该附件。
    5. 从 "Dynamic Routing Gateway" 菜单中,选择 Remote Peering Connection Attachments ,然后单击 Create Remote Peering Connection 。输入 Remote Peering Connection 的名称,然后单击 Create Remote Peering Connection
      将创建处于对等连接状态的新远程对等连接附件(非对等连接)。远程对等连接附件将包括从备用数据库的 VCN 到 DRG 的必需路由。请注意远程对等连接 OCID,该 OCID 将在对等连接步骤中使用。
  7. 创建从备用数据库的 VCN 到主数据库的 VCN 的路由:
    1. 在 OCI 菜单中,单击网络,然后单击虚拟专用网络。为将配置备用数据库的区域选择 VCN。
    2. 从“虚拟云网络”菜单中,单击路由表,然后选择专用子网的路由表。
    3. 向配置了主数据库的 VCN 添加路由。
      例如,如果主数据库在 IP 地址为 10.0.0.0/16 的 VCN 上运行,请使用 DRG 为目标 10.0.0.0/16 添加路由。
  8. 将入站安全规则添加到专用网络安全列表,以允许从配置了主数据库的 VCN(使用上面的示例,从网络 10.0.0.0/16)连接到端口 1521
  9. 在主数据库的区域中,导航到 OCI 菜单,然后选择网络。单击虚拟云网络,然后选择运行主数据库的网络的 VCN。
  10. 单击 Remote Peering Connections Attachments
    在步骤 2.e 中创建的远程对等连接将显示在对等连接状态“新建”(未对等连接)。
  11. 单击 "Remote Peering Connection" 名称。
    此时将显示 "Remote Peering Connection" 详细信息。
  12. 从 "Remote Peering Conection Details" 页面中,单击 Establish Connection
    将打开一个新窗口。
  13. 选择将运行备用数据库的区域,以及备用远程对等连接的 OCID(步骤 6.e 中的 OID)。
    如果对等连接成功,对等连接状态将从“新建”更改为“待定”更改为“已对等连接”。
    两个区域的 VCN 之间现在已建立网络通信,可以配置跨区域数据卫士。
  14. 从 OCI 菜单中,单击 Oracle Database ,然后单击 Oracle Exadata Database Service on Dedicated Infrastructure
  15. 选择配置主数据库 VM 集群的区间。
  16. 选择包含要配置有 Oracle Data Guard 的数据库的 VM 集群。
  17. 单击数据库名称以选择数据库。
  18. 在“资源”下,选择 Data Guard Associations
  19. 单击启用数据卫士
  20. 配置 Data Guard 选项:
    • 区域:选择将运行备用数据库的区域。必须提供其他区域,因为这是跨区域 Oracle Data Guard 配置。
    • 可用性域:选择部署备用 Oracle Exadata Database Service on Dedicated Infrastructure 的可用性域。
    • 配置:选择运行备用数据库的 Oracle Exadata Database Service on Dedicated Infrastructure 的配置。
    • Data Guard 对等资源类型:选择 VM 集群。
    • VM 集群:选择将运行备用数据库的 VM 集群。如果备用数据库将在其他区间上的 VM 集群上运行,请选择对应的区间。默认情况下,选择了与主数据库相同的区间。
    • Data Guard 类型:选择 Data Guard 或 Active Data Guard。活动数据卫士可能需要额外的许可证。
    • 保护模式:选择“最大性能”。这是跨区域 Data Guard 唯一支持的选项。
    • 传输:选择异步。这是跨区域 Data Guard 唯一支持的选项。
    • 数据库主目录:选择现有数据库主目录,或创建新主目录。如果选择现有数据库主目录,请确保 Oracle 数据库软件版本和补丁程序与主数据库匹配。如果创建新的数据库主目录,请确保备用 VM 集群上的默认映像与使用 dbaascli cswlib/dbaascli dbimage activateBP 命令的 te 主数据库的数据库主目录版本相同。如果备用 VM 集群上的默认映像与主 VM 集群的数据库主目录的版本相同,则在创建备用数据库的新数据库主目录时,将创建与主数据库相同的数据库版本。
    • 数据库唯一名称:(可选)输入对等备用数据库的数据库唯一名称。如果未输入数据库唯一名称,则默认情况下 OCI 接口将为备用数据库自动配置数据库唯一名称。
    • 口令:为主数据库提供 sys 口令。使用 Oracle 管理的密钥时,sys 密码和 TDE wallet 密码必须相同。
  21. 单击启用数据卫士
    等待工作请求完成。
将在备用 VM 集群中创建新的数据库。Data Guard 关联在主数据库和备用数据库之间创建。新数据库配置为备用数据库。