使用自治式資料保全保護重要資料庫免於故障和災害

自治式資料保全功能可讓您在故障、災害、人為錯誤或資料損毀的情況下，將關鍵生產資料庫提供給關鍵任務應用程式使用。這種功能通常稱為災難復原。

在專用 Exadata 基礎架構上的自治式 AI 資料庫中，您可以在自治式容器資料庫層級設定及管理自治式資料保全。

關於自治式資料保全

Autonomous Data Guard 可以建立和維護兩個完全獨立的資料庫複本：您的應用程式所連線的主要資料庫，以及主要資料庫的同步複本待命資料庫。然後，如果主要資料庫因任何原因而無法使用，Autonomous Data Guard 就可以將待命資料庫轉換為主要資料庫，因此它將開始為您的應用程式提供服務。

主要與待命資料庫通常稱為對等資料庫。每個自治式容器資料庫最多可以有兩個待命資料庫。

注意：您必須將應用程式設定為使用通透應用程式連續性 (TAC)，才能享有 Autonomous Data Guard 提供之資料庫可用性功能的完整優點。

下圖顯示每個待命資料庫如何與主要資料庫保持同步。

autonomous-data-guard.png 圖解描述

對主要資料庫所做的變更會記錄在主要資料庫的重做日誌中。自治式資料保全會以串流的形式，透過網路將這些重做記錄傳輸至待命資料庫的重做日誌。然後，待命資料庫會將這些記錄套用到待命資料庫。如此一來，待命資料庫就會與主要資料庫保持同步。

同步化幾乎是即時的，但就像所描述的處理作業一樣，有兩項作業會使用時間：將重做記錄傳輸至待命資料庫，並將重做記錄套用到待命資料庫。其中第一項稱為傳輸延遲，另一項則稱為套用延遲。您可以從資料庫的「詳細資訊」頁面，在 Autonomous Data Guard 下檢視自治式 AI 資料庫目前的延遲值。您可以從容器資料庫的「詳細資訊」頁面，以類似的方式從容器資料庫的「詳細資訊」頁面檢視容器資料庫中所有自治式 AI 資料庫目前的延遲值。

注意：若有多個待命資料庫，則不支援連鎖重做傳輸。

設定自治式資料保全

在專用 Exadata 基礎架構上的自治式 AI 資料庫中，您可以在自治式容器資料庫 (ACD) 層級設定及管理自治式資料保全。您可以使用 Oracle Cloud Infrastructure 主控台，針對已佈建的 ACD 啟用 Autonomous Data Guard，並從其詳細資訊頁面新增最多兩個待命 ACD。如需相關指示，請參閱在自治式容器資料庫啟用自治式資料保全和新增第二個待命自治式容器資料庫。

您現在可以在 Oracle Cloud Infrastructure (OCI) 中的 ACD 與 Amazon Web Services (AWS) 中的 ACD 之間建立及管理 Autonomous Data Guard。
您可以將 AWS 區域的待命 ACD 新增至 OCI 區域中已經佈建的 ACD。或者，您也可以將 OCI 區域中的待命 ACD 新增至 AWS 區域中已經佈建的 ACD。

設定自治式資料保全之前，請注意下列事項：

部署在 Exadata Cloud@Customer 上的自治式 AI 資料庫必須開啟連接埠 1522 ，才能在自治式資料保全設定中允許主要資料庫與待命資料庫之間的 TCP 流量。
無法在排定在未來 3 天內執行作用中維護的 ACD 上啟用自治式資料保全。您可以先執行作用中維護，然後啟用自治式資料保全，或變更維護執行排程，直到新增第二個待命資料庫後才開始進行。
若要新增第二個待命資料庫，必須自動重新啟動第一個待命資料庫的非輪流資料庫。主要資料庫不受此非輪流重新啟動的影響。

使用客戶管理的金鑰設定自治式資料保全

在專用 Exadata 基礎架構上的自治式 AI 資料庫中，您可以使用客戶管理的金鑰，在自治式容器資料庫 (ACD) 層級設定及管理自治式資料保全。您可以使用 Oracle Cloud Infrastructure 主控台，對已佈建的 ACD 啟用 Autonomous Data Guard，並從它的「詳細資訊」頁面新增最多兩個待命 ACD。如需相關指示，請參閱在自治式容器資料庫啟用自治式資料保全和新增第二個待命自治式容器資料庫。

使用客戶管理的金鑰設定自治式資料保全之前，請注意下列事項：

如果您使用 Oracle Cloud Infrastructure Key Management System (OCI KMS)，並想要啟用跨區域自治式資料保全：
- 您必須先將 OCI 保存庫複寫至想要新增待命資料庫的區域。請參閱 Replicating Vaults and Keys ，瞭解詳細資訊。
- 在最多 2 個區域中，您只能有主要和待命資料庫。也就是說，如果您想要新增第二個待命資料庫，且已將跨區域用於第一個待命資料庫，則第二個待命資料庫必須位於主要區域或第一個待命區域。
注意：引進跨區域保存庫複寫功能之前建立的虛擬保存庫，無法跨區域複寫。如果您在另一個區域中擁有需要複寫的保存庫，且該保存庫不支援複寫，請建立新的保存庫和新金鑰。不過，所有專用保存庫都支援跨區域複寫。如需詳細資訊，請參閱 Virtual vault 跨區域複寫。
如果您使用 Oracle Key Vault (OKV)，並且想要啟用跨區域自治式資料保全，請確定已在金鑰存放區中新增 OKV 叢集的連線 IP 位址。

注意：如果您在 OCI 區域的 ACD 與 AWS 區域的 ACD 之間設定 Autonomous Data Guard，則只能使用 Oracle 管理的金鑰或 Oracle Key Vault。您無法使用 OCI KMS 金鑰或 AWS KMS 金鑰。

角色轉換與作業

建立自治式容器資料庫 (ACD) 之後，您可以使用切換作業或容錯移轉作業變更對等資料庫的角色。如果啟用自動容錯移轉，Autonomous Data Guard 會在主要資料庫因任何原因而無法使用時，自動執行容錯移轉作業。

切換是主要資料庫與其待命資料庫之間的角色反轉。切換可確保不會遺失資料。在切換期間，主要資料庫會轉換成待命角色，而待命資料庫會轉換成主要角色。若要執行切換作業，請參閱切換自治式資料保全組態中的角色。

容錯移轉是主要資料庫無法使用時。容錯移轉會導致待命資料庫轉換成主要角色。如果未啟用自動容錯移轉，您可以依照容錯移轉至自治式資料保全組態中的待命資料庫中的說明執行手動容錯移轉。

容錯移轉作業後的資料庫可用性與狀態有兩種復原目標：

復原時間物件 (RTO) 。RTO 是容錯移轉後可供應用程式使用的資料庫最長時間，且與失敗時的套用延遲程度有關。對於 Autonomous Data Guard，RTO 最多是兩分鐘。
Recovery Point Objective (RPO) 。RPO 是失敗之主要資料庫的潛在資料遺失持續時間上限，與失敗時傳輸延遲的某種程度相關。對於 Autonomous Data Guard，RPO 幾乎是零。

容錯移轉之後，失敗的主要資料庫會變成停用的待命資料庫，而且任何資料庫連線都無法使用。您可以執行復原作業來重新啟用它，並將它變成狀況良好的待命資料庫。當失敗的主要資料庫恢復為待命資料庫後，您可以執行切換，使其回到其原始的主要角色。若要執行復原作業，請參閱在自治式資料保全組態中恢復停用的待命資料庫。

自動容錯移轉或快速啟動容錯移轉

透過自動容錯移轉，每當主要 ACD 因區域故障、可用性網域故障、Exadata 基礎架構或自治式 Exadata VM 叢集 (AVMC) 失敗，或 ACD 本身失敗時，都會自動容錯移轉至待命 ACD。這也稱為「快速啟動容錯移轉」。

在 ACD 上設定自治式資料保全時，您無法啟用自動容錯移轉。從 ACD 詳細資訊頁面更新「自治式資料保全」設定值時，才能啟用或停用自動容錯移轉。

注意： 若在 Exadata Cloud@Customer 中部署的自治式 AI 資料庫已設定跨區域自治式資料保全，便無法啟用自動容錯移轉。

您無法在第一個待命 ACD 啟用自動容錯移轉時新增第二個待命 ACD。因此，在建立第二個待命 ACD 之前，先使用更新自治式資料保全設定值停用自動容錯移轉，然後視需要在稍後重新啟用。

最大效能和最大可用性保護模式都支援自動容錯移轉：

在最大可用性模式中，自動容錯移轉可確保零資料遺失。
在最大效能模式中，自動容錯移轉可確保待命資料庫不會落後主要資料庫，超過為快速啟動容錯移轉延遲限制指定的值。依照預設，快速啟動容錯移轉延遲限制設為 30 秒，且僅適用於「最大效能」模式。在此情況下，只有在待命資料庫的套用延遲 (潛在資料遺失) 未超過設定的延遲限制時，才能進行自動容錯移轉。您可以將「快速啟動」容錯移轉延遲限制修改為介於 5 與 3600 之間的任何值。

請參閱更新自治式資料保全設定值以瞭解詳細資訊。

除了硬體故障、可用性網域停機和區域停機之外，還有其他一些資料庫狀況可以觸發快速啟動容錯移轉，如下所示：

資料庫狀況	描述
控制檔損毀	由於磁碟故障，控制檔已永久損毀。
毀損的字典	重要資料庫的字典損毀。目前，只有在開啟資料庫時才能偵測到此狀態。
資料檔寫入錯誤	任何資料檔 (包括暫存檔、系統資料檔以及還原檔案) 中都會發生寫入錯誤。

由於自動容錯移轉，失敗的主要資料庫的角色會變成「停用待命」，待命資料庫在短時間內會擔任主要資料庫的角色。自動容錯移轉結束之後，停用的待命資料庫詳細資訊頁面就會顯示一則訊息，告知您發生容錯移轉。

服務解決之前的主要自治式容器資料庫問題之後，您可以執行手動切換，將這兩個資料庫回復到最初的角色。佈建待命資料庫之後，您可以執行與待命資料庫相關的各種管理作業，包括：

手動將主要資料庫切換至待命資料庫。
手動容錯移轉主要資料庫至待命資料庫。
容錯移轉之後，將主要資料庫恢復為待命角色。
正在終止待命資料庫。

在具有多個待命資料庫和自動容錯移轉的 Autonomous Data Guard 設定中：

手動容錯移轉需要您手動復原成為新待命資料庫的原始主要資料庫。
每當發生自動容錯移轉時，專用 Exadata 基礎架構上的自治式 AI 資料庫會嘗試將舊的主要資料庫恢復為待命資料庫。不過，如果該嘗試失敗，則必須手動復原。

快照待命資料庫

快照待命資料庫是透過將待命自治式容器資料庫 (ACD) 轉換為快照待命 ACD 所建立的可完全更新待命資料庫。如需逐步指示，請參閱將實體待命轉換成快照待命。

快照待命資料庫會接收並存檔，但不會套用主要資料庫的重做資料。不過，它會增加您的「復原時間目標 (RTO)」，因為不會套用主要資料庫的即時變更。

快照待命功能支援各種使用案例，但以下是主要使用案例：

以讀寫模式將主要和待命應用程式執行處理連線至主要和待命資料庫，以執行初始組態。
請先修正快照待命資料庫，然後使用待命應用程式執行處理進行測試，以確認修正程式穩定性。這需要先將實體待命轉換成快照待命資料庫，才能在快照待命資料庫套用修正程式。

注意：您無法在啟用自動容錯移轉的情況下，將實體待命自治式容器資料庫轉換為快照待命資料庫。

轉換為快照待命資料庫時，您可以啟用只在快照模式作用中的新資料庫服務，或使用與主要資料庫搭配使用的相同服務集。不過，在快照待命資料庫上啟用主要資料庫服務可能會導致快照待命連線要求轉送至主要資料庫，反之亦然，如果您使用不正確的資料庫連線字串。因此，連線到主要和快照待命資料庫時，您必須小心使用適當的連線字串。

注意：使用快照待命資料庫建立新服務時，會更新快照待命 ACD 中所有自治式 AI 資料庫的公事包。若要存取資料庫，請從待命自治式 AI 資料庫重新載入公事包，然後使用快照待命連線字串。

您可以手動將快照待命 ACD 從 Oracle Cloud Infrastructure (OCI) 轉換回實體待命 ACD。如需詳細指示，請參閱將快照待命轉換為實體待命。如果快照待命未手動轉換成實體待命資料庫，則會在建立快照後 7 天自動轉換回實體待命資料庫。在任何情況下，將快照待命資料庫轉換回實體待命資料庫會捨棄快照待命資料庫的所有本機更新，並套用從主要資料庫接收的重做資料。

當待命 ACD 處於快照待命模式時，您無法對主要 ACD 執行下列作業：

建立或終止自治式 AI 資料庫
縱向擴展或縮減自治式 AI 資料庫
回復自治式 AI 資料庫

如果情況需要，您可以手動從主要資料庫容錯移轉至快照待命資料庫。在這種情況下，容錯移轉會將快照待命資料庫轉換成實體待命資料庫，方法是捨棄對快照待命進行的所有本機更新，並從主要資料庫套用資料。如需逐步指示，請參閱容錯移轉至自治式資料保全組態中的待命資料庫。

不允許在主要資料庫與其快照待命資料庫之間切換。您必須先手動將快照待命轉換為實體待命資料庫，再嘗試切換。

從從屬端應用程式存取待命資料庫

在 Autonomous Data Guard 組態中，您的從屬端應用程式通常會連線至主要資料庫並執行作業。

連接到物理待命資料庫

除了這項正常連線之外，Autonomous Data Guard 還可讓您選擇連線待命資料庫上執行唯讀作業的從屬端應用程式。如 Predefined Database Service Names for Autonomous AI Database 所述，從屬端應用程式會使用包括 "_RO" (僅適用於「唯讀」) 的資料庫服務名稱連線至資料庫。

連線至快照待命資料庫

自治式資料保全也可讓您將執行讀寫作業的從屬端應用程式連線至快照待命資料庫。這些作業是快照待命資料庫的本機作業，因此請勿修改其主要資料庫。若要連線至快照待命資料庫，從屬端應用程式可以使用包含 "_SS" 的資料庫服務名稱 (針對「快照待命」)，如自治式 AI 資料庫的預先定義資料庫服務名稱中所述。

注意：當待命資料庫處於快照待命模式時，名稱中包含 "_RO" 服務的所有資料庫服務都會處於非作用中狀態，無法用於連線。

監督延遲時間

當使用 Autonomous Data Guard 的資料庫執行時，您可以選擇自治式資料保全群組，監控傳輸延遲，並從資料庫 (或容器資料庫) 的「詳細資訊」頁面套用延遲時間。您也可以使用 OCI 主控台或可觀察性 API 來監控傳輸延遲，以及設定警示和通知。請參閱使用自治式 AI 資料庫測量結果的資料庫可觀測性以瞭解詳細資訊。

您應該會看到一段時間內的輕微波動，因為資料庫 ebbs 和流程上的工作負載。不過，若您注意到延遲時間的持續向上趨勢，您可以採取下列動作來解決此情況：

套用延遲的向上趨勢。 套用延遲的持續向上趨勢表示待命資料庫的容量不足，無法跟上來自主要資料庫的重做記錄。若要解決此情況，請擴大資料庫的 OCPU，如將 CPU 或儲存資源新增至專用自治式 AI 資料庫中所述。
傳輸延遲的向上趨勢。 傳輸延遲的持續向上趨勢表示網路效能問題。Oracle Cloud 營運人員會持續監控網路效能，因此您應該無須採取任何行動，即可自行查看情況。不過，如果需要，您可以提出服務要求 (如在 My Oracle Support 中建立服務要求中所述)，將情況帶給作業人員。

自治式資料保全組態選項

設定自治式資料保全時，請指定您要在其中建立待命資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集資源，以及指定要使用的資料保護模式。

指定要用於待命資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集資源時，您可以選擇下列選項：

與主要資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集位於不同的區域：

此選項可針對災害提供最高等級的保護，包括對整個區域造成災難性外部網路連線或電源中斷。

為了充分利用此跨區域保護，同時也必須將您的應用程式層設定為支援跨區域保護。因此，如果您的應用程式層已使用此方式設定，或您願意重新設定以支援跨區域保護，Oracle 建議您選擇此選項。

如果您選擇在不同的區域中尋找待命資料庫，Oracle 建議您使用最大效能保護模式。
主要資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集在不同的可用性網域 (AD) ：

此選項可針對災害提供高層級的保護，包括災難性遺失外部網路連線，或存取區域內可用性網域的電源。

此選項可在資料保護與應用程式層中組態的簡單性之間提供良好的平衡。

如果您選擇在不同的可用性網域中尋找待命資料庫，Oracle 建議您使用最大可用性保護模式。
在與主要資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集相同的可用性網域 (AD) 中：

此選項可針對災害提供最低層級的保護，Oracle 建議您不要選擇此選項。

主要資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集資源若位於只有一個可用性網域的區域中，Oracle 建議您使用「在其他區域中」選項。

如果您選擇在相同的可用性網域中尋找待命資料庫，Oracle 建議您使用最大可用性保護模式。
主要資料庫的 Exadata 基礎架構和自治式 Exadata VM 叢集在不同的租用戶中：

套用至：僅限 Oracle Public Cloud

此選項可讓您新增與主要資料庫不同租用戶的待命資料庫，讓您的資料庫容錯移轉或切換至該跨租用戶待命資料庫。您也可以在遠端租用戶中建立快照待命資料庫。跨租用戶待命資料庫對於跨租用戶的資料庫移轉很有幫助。

跨租用戶待命資料庫：
- 可以使用 ECPU 或 OCPU 運算模型啟用。待命資料庫必須使用與主要資料庫相同的運算模型。
- 支援自動容錯移轉。不過，在已設定跨區域自治式資料保全的 Exadata Cloud@Customer 中部署的自治式 AI 資料庫，無法啟用自動容錯移轉。
- 無法使用 Oracle Cloud Infrastructure 主控台新增。您只能使用 CLI 或 REST API 新增跨租用戶待命資料庫。新增待命資料庫之後，您可以檢視跨租用戶待命資料庫、從 Oracle Cloud Infrastructure 主控台執行容錯移轉或切換至跨租用戶待命資料庫。

關於保護模式

自治式資料保全提供下列資料保護模式：

最大可用性。 此保護模式提供最高層級的資料保護，在不影響主要資料庫的可用性的情況下即可。

主要資料庫要等到收到確認已在待命資料庫上接收資料 ( 尚未寫入磁碟) 後，才會確認交易。如果主要資料庫在 30 秒內未收到此認可，其運作方式就像處於最大效能模式一樣，可保留主要資料庫可用性，直到再次及時收到認可為止。

此保護模式可確保沒有任何資料遺失，但若發生某些雙重錯誤，例如待命資料庫失敗後的主要資料庫失敗。
最大效能。 這是預設的保護模式。它提供最高層級的資料保護，在不影響主要資料庫的效能的情況下。

主要資料庫會在這些交易產生的所有重做資料都已寫入其線上重做日誌時，立即確認交易。它也會將重做資料傳送到待命資料庫，但與交易確認無關，因此主要資料庫效能不會因將重做資料寫入待命資料庫的延遲而受到影響。

此保護模式的資料保護比最大可用性模式稍微減少，對主要資料庫效能的影響也極小。

您可以從 Oracle Cloud Infrastructure (OCI) 主控台變更自治式資料保全設定中的保護模式。如需逐步說明，請參閱更新自治式資料保全設定值。

如需有關 Oracle Data Guard (在「自治式資料保全」功能底下) 保護模式的詳細資訊，請參閱 Oracle Data Guard Concepts and Administration 中的 Oracle Data Guard Protection Modes 。

設定自治式資料保全的最佳做法

雖然 Autonomous AI Database 最多可讓您使用 Autonomous Data Guard 建立兩個待命 ACD，但您可以根據需求選擇使用單一或多個待命 ACD。不過，若要使用「自治式 AI 資料庫」提供的最具復原能力災害復原選項，您可以新增一個本機待命 ACD 和一個遠端或跨區域待命 ACD，並以最大可用性作為資料保護模式。

讓我們瞭解此設計的優點：

本機待命：
- 自動容錯移轉至相同區域中的本機待命資料庫，可大幅隔離本機災害及簡化應用程式容錯移轉。
- 本機待命資料庫的商業價值在零資料遺失容錯移轉中可見，應用程式停機時間縮短為秒。
- 應用程式會自動且通透地容錯移轉至本機待命資料庫，在應用程式伺服器與資料庫之間維持相同的延遲。這對 OLTP 和套裝應用程式特別重要，因為較高的延遲可能會大幅影響傳輸量和整體的應用程式回應時間。
遠端待命：
- 如果區域災難導致無法存取主要和本機待命系統，則應用程式和資料庫可以容錯移轉至遠端待命系統。
- 即使發生區域災害時資料庫停機仍然非常低，但由於次要區域的 DNS、應用程式和資料庫容錯移轉作業需要額外的協調，應用程式停機時間可能會更高。
最佳使用狀態：
- 如果啟用自動容錯移轉或快速啟動容錯移轉 (FSFO)，當主要 ACD 不可用時，Autonomous Data Guard 會容錯移轉至本機待命資料庫，而不會遺失資料，也不會變更應用程式中的資料庫延遲。
- 如果啟用自動容錯移轉或快速啟動容錯移轉 (FSFO)，則當整個主要區域無法存取時，系統會容錯移轉至遠端待命資料庫，並造成資料遺失。

自治式資料保全如何影響標準管理作業

在某些情況下，您在自治式容器資料庫上執行的標準管理作業，與標準容器資料庫相比，在自治式資料保全組態中的主要和待命容器資料庫的運作方式不同。下列清單說明這些差異。

變更維護排程

已連結主要容器資料庫與其待命資料庫的維護排程：對待命資料庫進行維護的執行天數會在主要容器資料庫進行維護之前。預設值為 7 天；您可以在建立主要容器資料庫時選擇 1 到 7 天，也可以在稍後編輯其「維護詳細資訊」來選擇。
變更維護類型

主要容器資料庫與其待命資料庫的維護類型必須相同。當您建立主要容器資料庫或稍後編輯主要容器資料庫的「維護詳細資訊」時，可以選擇主要和待命資料庫的維護類型。
停用自動的備份

使用自治式資料保全佈建自治式容器資料庫 (ACD) 時，您無法停用自動備份。
管理排定的維護

您可以個別管理主要容器資料庫與其待命資料庫的排定維護。不過，由於兩者的維護已連結，如果您選擇覆寫排定的維護時間，就必須在主要資料庫之前執行排定的維護。
移至其他區間

您可以個別和獨立地將主要和待命容器資料庫移至不同的區間，就像它們是標準容器資料庫一樣。然而，如同標準容器資料庫一樣，移動容器資料庫時應特別小心，以確保容器資料庫可供適當的雲端使用者群組存取。
重新啟動

您可以個別和獨立重新啟動主要和待命容器資料庫，就像它們是標準容器資料庫一樣。
輪換加密金鑰

您可以從主要 ACD 或主要資料庫循環加密金鑰。
終止

您可以個別終止主要和待命容器資料庫。不過，終止主要容器資料庫及終止待命容器資料庫的後果不同：
- 終止主要容器資料庫會同時終止主要和待命容器資料庫。您無法終止包含自治式 AI 資料庫的主要容器資料庫。
- 終止待命容器資料庫會終止待命容器資料庫，並將其從「自治式資料保全」組態中移除。如果只剩下主要資料庫，就會移除自治式資料保全組態，並將主要資料庫轉換成獨立容器資料庫。

逐步指南

如需在自治式容器資料庫中管理自治式資料保全組態的逐步指示，請參閱：

您也可以使用 API 檢視及管理自治式資料保全組態。如需詳細資訊，請參閱管理自治式資料保全組態的 API 。