Oracle Exadata Database Service on Dedicated Infrastructure 配置 Oracle Data Guard

Oracle Exadata Database Service on Dedicated InfrastructureData Guard 支持用于透明数据加密 (TDE) 的 Oracle 管理的密钥和客户管理的密钥。Oracle 管理的密钥使用基于密码的钱包来存储和管理 TDE 密钥,而客户管理的密钥则可用于在 OCI Vault 中存储和管理 TDE 密钥。默认情况下,Oracle Exadata Database Service on Dedicated Infrastructure 使用 Oracle 管理的密钥。

验证安全策略和动态组

如果您的数据库使用 OCI Vault 存储客户管理的密钥,则必须按照以下步骤验证是否已正确配置了所有必需的安全策略和动态组。如果数据库使用 Oracle 管理的密钥,则可以跳过此部分。

  1. 在 OCI 控制台中,导航到主菜单,然后单击身份和安全
  2. 单击动态组
    在较新的租户上,单击,然后单击动态组
  3. 验证动态组是否配置了类似于以下内容的规则:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. 导航到身份和安全,然后单击策略
    验证是否存在具有以下规则的安全策略:
    Allow service keymanagementservice to manage vaults in tenancy
    Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
    compartment_name_where_OCI_Vault_is_configured
    Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

验证 OCI Vault 复制

如果您在两个区域之间配置 Oracle Data Guard ,并且您的数据库使用客户管理的密钥,则必须在两个区域之间复制虚拟专用 Vault。如果数据库使用 Oracle 管理的密钥,则可以跳过此部分。以下步骤介绍了如何验证虚拟专用 Vault 是否在两个区域之间复制。

  1. 导航到 OCI 菜单,然后单击身份和安全
  2. 单击 Vault
  3. 在可用 Vault 的列表中,验证列 Virtual Private 是否设置为 yes ,以使 Vault 将用于 Data Guard 关联中的数据库。
    如果 Vault 尚不存在,请单击创建 Vault ,并为 Vault 提供名称。选择 Make it a virtual private vault 选项,然后单击 Create Vault
  4. 验证虚拟专用 Vault 是否复制到将创建备用数据库的区域:
    1. 导航到 OCI 菜单,然后选择身份和安全
    2. 单击 Vault
    3. 选择要用于 Data Guard 关联中的数据库的 Vault。
      如果为此 Vault 启用了 Vault 复制,则 Vault 页将显示 "Replication Role and Replication Details"。如果未显示复制信息,则不会复制 Vault。
  5. 要将 Vault 复制到其他区域,请单击复制 Vault 。选择将配置备用数据库的区域,然后单击创建副本
    Vault 将复制到其他区域,几分钟后即可创建 Data Guard 关联。
  6. 验证现有数据库的任何现有密钥是否已从源 Vault 复制到副本 Vault。
  7. 在源 Vault 上,为新数据库创建新密钥并验证它们是否已复制到副本 Vault。

配置区域内 Oracle Data Guard

以下步骤介绍了如何为同一区域中的 Oracle Exadata Database Service on Dedicated Infrastructure 数据库启用 Oracle Data Guard

  1. 导航到 OCI 菜单,然后单击 Oracle Database
  2. 单击 Oracle Exadata Database Service on Dedicated Infrastructure
  3. 选择配置了 Oracle Exadata Database Service on Dedicated Infrastructure VM 集群的区间。
  4. 选择要使用 Oracle Data Guard 配置的数据库所在的 VM 集群。
  5. 单击数据库名称以选择数据库。
  6. 在“资源”下,单击 Data Guard Associations
  7. 单击添加备用数据库。此时将打开“Add standby(添加备用数据库)”窗口,您的数据库版本将确定显示的选项。数据库版本 11g 和 12c 支持 Data Guard 关联,而版本 19c 和更高版本支持 Data Guard 组。选择是配置 Data Guard 关联还是配置 Data Guard 组。
  8. 配置 Data Guard 选项:
    • 对等区域:默认情况下显示所选数据库的区域。将此区域用于 Oracle Data Guard 配置。
    • 可用性域:默认情况下显示所选数据库的可用性域。如果要在与主数据库相同的可用性域上配置备用数据库,请使用此可用性域。否则,请选择其他可用性域。
    • Exadata 基础结构:选择将运行备用数据库的 Exadata 基础结构。
    • Data Guard Peer 资源类型:选择 VM 集群。
    • VM 集群:选择将运行备用数据库的 VM 集群。如果备用数据库将在其他区间上的 VM 集群上运行,请选择相应的区间。默认情况下,选择与主数据库相同的区间。
    • Data Guard Type(Data Guard 类型):选择 Data GuardActive Data GuardActive Data Guard 可能需要额外的许可证。
    • Protection Mode(保护模式):选择 "Max Performance"(最大性能)或 "Max Availability"(最大可用性)。
    • 传输:同步或异步,具体取决于所选择的保护模式。如果保护模式为“最大性能”,则传输是异步的。如果保护模式为最大可用性,则传输是同步的。
    • 数据库主目录:选择现有数据库主目录或创建新数据库主目录。确保数据库主目录与主数据库运行相同的 Oracle 数据库软件版本和补丁程序。
    • 数据库唯一名称:(可选)为对等备用数据库提供数据库唯一名称。如果未提供数据库唯一名称,默认情况下,OCI 接口将自动为备用数据库配置数据库唯一名称。
    • 密码:为主数据库提供 sys 密码。使用 Oracle 管理的密钥时,sys 密码和 TDE Wallet 密码必须相同。
    • TDE 密码:输入主数据库的 TDE 密码。使用 Oracle Managed Keys 时,sys 和 TDE 密码可能相同。
  9. 单击添加备用数据库
工作请求完成后,将在备用 VM 集群中创建新数据库,并在两个数据库之间创建 Data Guard 组或关联。新数据库配置为备用数据库。

配置跨区域 Oracle Data Guard

以下步骤介绍了如何为不同区域的 Oracle Exadata Database Service on Dedicated Infrastructure 数据库启用 Oracle Data Guard

  1. 在 OCI 租户中,选择配置主数据库的区域。
  2. 为配置了主数据库的 VCN 创建远程对等连接:
    1. 依次选择网络虚拟云网络
    2. 选择客户连接
    3. 选择 Dynamic Routing Gateway(动态路由 Gateway)。选择现有的动态路由网关 (DRG),或者创建新的动态路由网关(如果尚不存在)。
    4. 从“动态路由网关”菜单中,选择虚拟云网络附加。创建虚拟云网络附加(如果尚不存在)。
    5. 从“动态路由网关”菜单中,选择“远程对等连接附加”,然后单击创建远程对等连接。输入远程对等连接的名称,然后单击创建远程对等连接
      这将创建一个远程对等连接连接附件,其对等连接状态为“新建”(非对等连接)。远程对等连接附加包括从主数据库的 VCN 到 DRG 的所需路由。
  3. 创建从主数据库的 VCN 到备用数据库的 VCN 的路由:
    1. 从 OCI 菜单中,选择网络,然后选择虚拟专用网络。为主数据库的区域选择 VCN。
    2. 从 VCN 菜单中,选择路由表,然后选择专用子网的路由表。
    3. 向将配置备用数据库的 VCN 添加路由。
      例如,如果备用数据库将配置在 IP 地址为 10.1.0.0/16 的 VCN 中,则使用 DRG 为目标 10.1.0.0/16 添加路由。
  4. 将入站安全规则添加到专用网络安全列表,以允许从配置了备用数据库的网络(使用上面的示例,网络 10.1.0.0/16)连接到端口 1521
  5. 选择将运行备用数据库的区域。
  6. 为将配置备用数据库的 VCN 创建远程对等连接:
    1. 从 OCI 菜单中,选择网络,然后选择虚拟云网络
    2. 选择客户连接
    3. 选择动态路由网关,然后选择现有 DRG。如果尚不存在,请创建一个,然后选择新的 DRG。
    4. 从“Dynamic Routing Gateway(动态路由网关)”菜单中,选择“Virtual Cloud Networks Attachments(虚拟云网络附加)”。如果 VCN 附件尚不存在,则创建该附件。
    5. 从“动态路由网关”菜单中,选择远程对等连接附件,然后单击创建远程对等连接。输入远程对等连接的名称,然后单击创建远程对等连接
      将创建一个新的远程对等连接连接附件,其状态为“新建”(非对等连接)。远程对等连接附加将包括从备用数据库的 VCN 到 DRG 的所需路由。请注意将在对等连接步骤中使用的远程对等连接 OCID。
  7. 创建从备用数据库的 VCN 到主数据库的 VCN 的路由:
    1. 在 OCI 菜单中,单击网络,然后单击虚拟专用网络。为将配置备用数据库的区域选择 VCN。
    2. 在 "Virtual Cloud Networks"(虚拟云网络)菜单中,单击 Route Tables(路由表),然后选择专用子网的路由表。
    3. 将路由添加到配置了主数据库的 VCN。
      例如,如果主数据库在 IP 地址为 10.0.0.0/16 的 VCN 上运行,请使用 DRG 为目标 10.0.0.0/16 添加路由。
  8. 将入站安全规则添加到专用网络安全列表,以允许从配置了主数据库的 VCN(使用上面的示例,从网络 10.0.0.0/16)到端口 1521 的连接。
  9. 在主数据库的区域中,导航到 OCI 菜单,然后选择网络。单击虚拟云网络,然后为运行主数据库的网络选择 VCN。
  10. 单击 Remote Peering Connections Attachments(远程对等连接附件)
    在步骤 2.e 中创建的远程对等连接将显示为“新对等连接状态”(而非“对等连接”)。
  11. 单击远程对等连接名称。
    此时将显示远程对等连接详细信息。
  12. 在“远程对等连接”详细信息页中,单击建立连接
    将打开新窗口。
  13. 选择将运行备用数据库的区域,以及备用远程对等连接(步骤 6.e 中的 OCID)的 OCID。
    如果对等连接成功,对等连接状态将从“新建”、“待处理”更改为“已对等”。
    现在在两个区域的 VCN 之间建立网络通信,并且可以配置跨区域 Data Guard。
  14. 在 OCI 菜单中,依次单击 Oracle DatabaseOracle Exadata Database Service on Dedicated Infrastructure
  15. 选择配置主数据库 VM 集群的区间。
  16. 选择包含要配置有 Oracle Data Guard 的数据库的 VM 集群。
  17. 单击数据库名称以选择数据库。
  18. 在“资源”下,单击 Data Guard Associations
  19. 单击添加备用数据库。此时将打开“Add standby(添加备用数据库)”窗口,您的数据库版本将确定显示的选项。数据库版本 11g 和 12c 支持 Data Guard 关联,而版本 19c 和更高版本支持 Data Guard 组。选择是配置 Data Guard 关联还是配置 Data Guard 组。
  20. 配置 Data Guard 选项:
    • 区域:选择将运行备用数据库的区域。必须提供其他区域,因为这是跨区域 Oracle Data Guard 配置。
    • 可用性域:选择部署备用 Oracle Exadata Database Service on Dedicated Infrastructure 的可用性域。
    • Exadata 基础结构:选择将运行备用数据库的 Exadata 基础结构。
    • VM 集群:选择将运行备用数据库的 VM 集群。如果备用数据库将在其他区间上的 VM 集群上运行,请选择相应的区间。默认情况下,选择与主数据库相同的区间。
    • Data Guard Type(Data Guard 类型):选择 Data Guard 或 Active Data Guard。Active Data Guard 可能需要额外的许可证。
    • 保护模式:选择“最大性能”。这是跨区域 Data Guard 支持的唯一选项。
    • 传输:选择异步。这是跨区域 Data Guard 支持的唯一选项。
    • 数据库主目录:选择现有数据库主目录或创建新数据库主目录。确保数据库主目录与主数据库运行相同的 Oracle 数据库软件版本和补丁程序。
    • Database Unique Name(数据库唯一名称):(可选)输入对等备用数据库的数据库唯一名称。如果未输入数据库唯一名称,默认情况下,OCI 接口将自动为备用数据库配置数据库唯一名称。
    • 密码:为主数据库提供 sys 密码。使用 Oracle 管理的密钥时,sys 密码和 TDE wallet 密码必须相同。
    • TDE 密码:输入主数据库的 TDE 密码。使用 Oracle Managed Keys 时,sys 和 TDE 密码可能相同。
  21. 单击添加备用数据库
工作请求完成后,将在备用 VM 集群中创建新数据库,并在两个数据库之间创建 Data Guard 组或关联。新数据库配置为备用数据库。