設定復原服務

復原服務的先決條件組態檢查清單

此檢查清單描述必須先完成的先決條件作業，您才能使用復原服務作為您租用戶中資料庫的備份目的地。

指定允許存取復原服務和相關資源的原則
複查設定子網路的網路服務權限
複查復原服務子網路的子網路大小需求和安全規則
在資料庫 VCN 中建立復原服務子網路
註冊復原服務子網路
確定復原服務子網路可與 Oracle 服務通訊
確定您的資料庫已完全設定 TDE
關閉任何手動作業備份

指定允許存取復原服務和相關資源的原則

指定原則敘述句，讓支援的 OCI 資料庫服務可以使用 Recovery Service 作為資料保護。

在主控台中，使用原則產生器快速指定在租用戶中使用復原服務所需的原則。在原則產生器中，選取自治式復原服務作為原則使用案例，然後選取下列預先定義的原則樣板：

能夠使用自治式復原服務執行所有作業
讓使用者管理自治式復原服務中的保護原則
讓使用者管理自治式復原服務子網路

能夠使用自治式復原服務執行所有作業

能夠使用自治式復原服務執行所有動作原則樣板包含提供使用復原服務之支援資料庫服務權限所需的所有原則敘述句，以及讓復原服務使用網路資源存取 VCN 中的資料庫。

您可以選取原則樣板，或使用「原則產生器」中的手動編輯器新增這些原則敘述句。

表格 - 使用復原服務所需的原則敘述句

原則敘述句	建立位置	目的
`Allow service database to manage recovery-service-family in tenancy`	根區間	讓 OCI 資料庫服務能夠存取您租用戶內的受保護資料庫、保護原則以及復原服務子網路。
`Allow service database to manage tagnamespace in tenancy`	根區間	讓 OCI 資料庫服務能夠存取租用戶中的標記命名空間。
`Allow service rcs to manage recovery-service-family in tenancy`	根區間	讓復原服務能夠存取及管理您租用戶內的受保護資料庫、復原服務子網路以及保護原則。
`Allow service rcs to manage virtual-network-family in tenancy`	根區間	讓復原服務能夠存取及管理您租用戶內每個資料庫 VCN 中的專用子網路。專用子網路定義資料庫與復原服務之間備份的網路路徑。
`Allow group admin to manage recovery-service-family in tenancy`	根區間	讓指定群組中的使用者能夠存取所有「復原服務」資源。屬於指定群組的使用者可以管理受保護的資料庫、保護原則以及「復原服務」子網路。

讓使用者管理自治式復原服務中的保護原則

讓使用者管理自治式復原服務中的保護原則原則樣板會授予指定群組中的使用者在復原服務中建立、更新及刪除保護原則資源的權限。

您可以選取原則樣板，或使用「原則產生器」中的手動編輯器新增此原則敘述句。

表格 - 管理保護原則的原則敘述句

原則敘述句	建立位置	目的
`Allow group {group name} to manage recovery-service-policy in compartment {location}`	擁有保護原則的區間。	讓指定群組中的所有使用者能夠在「復原服務」中建立、更新及刪除保護原則。

請參閱此範例。此原則會將在 ABC 區間中建立、更新及刪除保護原則的權限授予 RecoveryServiceUser 群組。

Allow group RecoveryServiceUser to manage recovery-service-policy in compartment ABC

讓使用者管理自治式復原服務子網路

讓使用者管理自治式復原服務子網路原則樣板會授予指定群組中的使用者建立、更新及刪除復原服務子網路資源的權限。

您可以選取原則樣板，或在「原則產生器」中新增此原則敘述句。

表格 - 管理復原服務子網路的原則敘述句

原則敘述句	建立位置	目的
`Allow Group {group name} to manage recovery-service-subnet in compartment {location}`	擁有復原服務子網路的區間。	讓指定群組中的所有使用者能夠建立、更新及刪除「復原服務」子網路。

請參閱此範例。此原則會將管理 ABC 區間中復原服務子網路的權限授予 RecoveryServiceAdmin 群組。

Allow group RecoveryServiceAdmin to manage recovery-service-subnet in compartment ABC

如需有關原則的詳細資訊，請參閱管理原則。

關於使用專用子網路進行復原服務

復原服務在資料庫所在的虛擬雲端網路 (VCN) 內使用專用子網路。專用子網路定義資料庫與復原服務之間備份的網路路徑。

Oracle 建議您的資料庫 VCN 必須要有單一專用子網路，才能備份至 Recovery Service。您的 Oracle Cloud 資料庫可以位於 Recovery Service 使用的相同專用子網路中，或位於相同 VCN 內的不同子網路中。

您可以建立專用子網路，或是使用資料庫 VCN 中已存在的子網路。Oracle 建議您使用 /24 (256 個 IP 位址) 的子網路大小。

附註：

在您的資料庫 VCN 中，選取只供復原服務的 IPv4 子網路。請勿選取已啟用 IPv6 的子網路，因為 Recovery Service 不支援使用已啟用 IPv6 的子網路。

資料庫 VCN 需要有安全規則，才能在資料庫與復原服務之間進行備份流量。安全規則必須包含狀態輸入規則，才能允許目的地連接埠 8005 和 2484。您可以使用這些網路服務功能來實作安全規則：

安全清單：安全清單可讓您在子網路層次新增安全規則。在您的資料庫 VCN 中，選取用於復原服務子網路的安全清單，然後新增傳入規則以允許目的地連接埠 8005 和 2484。
網路安全群組：網路安全群組 (NSG) 可對 VCN 中個別 VNIC 適用的安全規則進行精細的控制。復原服務支援下列選項，以使用 NSG 設定安全規則：
- 若要實作網路隔離，請為資料庫 VNIC 建立一個 NSG (新增傳出規則以允許連接埠 2484 和 8005) 和獨立的復原服務 NSG (新增傳入規則以允許連接埠 2484 和 8005)。
- 建立並使用單一 NSG (搭配輸出和輸入規則) 作為資料庫 VNIC 和復原服務。

附註：

如果您在資料庫 VCN 中設定了安全清單和 NSG，則 NSG 中定義的規則優先於安全清單中定義的規則。

在資料庫 VCN 中建立專用子網路之後，請指定安全規則，然後在復原服務中將該子網路註冊為復原服務子網路。如果您已建立 NSG 以實行安全規則，則必須同時確定將復原服務 NSG 與復原服務子網路關聯。

附註：

Oracle 建議使用專用子網路進行備份。不過，您可以使用公用子網路。

請參閱下列主題以取得詳細資訊：

複查復原服務子網路的子網路大小需求和安全規則

必須要有安全規則，才能允許資料庫與「復原服務」之間的備份流量。

附註：

在您的資料庫 VCN 中，選取只供復原服務的 IPv4 子網路。請勿選取已啟用 IPv6 的子網路，因為 Recovery Service 不支援使用已啟用 IPv6 的子網路。

表格 - 復原服務所使用之專用子網路的子網路大小需求和傳入規則

項目	需求
建議的子網路大小	/24 (256 IP 位址)
一般傳入規則 1：允許來自 Anywhere 的 HTTPS 流量	此規則允許將 OCI 資料庫的流量備份至復原服務。無狀態：否 (所有規則都必須有狀態) 來源類型：CIDR 來源 CIDR ：資料庫所在 VCN 的 CIDR IP 協定：TCP 來源連接埠範圍：全部目的地連接埠範圍： 8005
一般輸入規則 2：允許來自 Anywhere 的 SQLNet 流量	此規則允許從您的 OCI 資料庫到復原服務的復原目錄連線和即時資料保護。無狀態：否 (所有規則都必須有狀態) 來源類型：CIDR 來源 CIDR ：資料庫所在 VCN 的 CIDR IP 協定：TCP 來源連接埠範圍：全部目的地連接埠範圍： 2484

項目

需求

建議的子網路大小

/24 (256 IP 位址)

一般傳入規則 1：允許來自 Anywhere 的 HTTPS 流量

此規則允許將 OCI 資料庫的流量備份至復原服務。

無狀態：否 (所有規則都必須有狀態)
來源類型：CIDR
來源 CIDR ：資料庫所在 VCN 的 CIDR
IP 協定：TCP
來源連接埠範圍：全部
目的地連接埠範圍： 8005

一般輸入規則 2：允許來自 Anywhere 的 SQLNet 流量

此規則允許從您的 OCI 資料庫到復原服務的復原目錄連線和即時資料保護。

無狀態：否 (所有規則都必須有狀態)
來源類型：CIDR
來源 CIDR ：資料庫所在 VCN 的 CIDR
IP 協定：TCP
來源連接埠範圍：全部
目的地連接埠範圍： 2484

附註：

如果您使用網路安全群組 (NSG) 實行安全規則，或您的資料庫 VCN 限制子網路之間的網路流量，請確定將連接埠 2484 和 8005 的輸出規則從資料庫 NSG 或子網路新增至您建立的復原服務 NSG 或子網路。

複查設定子網路的網路服務權限

請確定您具備在資料庫 VCN 中建立子網路以及指定復原服務安全規則所需的這些網路服務權限。

表格 - 建立專用子網路和設定復原服務安全規則所需的網路服務權限

操作	必要的 IAM 原則
設定資料庫 VCN 中的專用子網路	VCN 所在區間的 `use vcns` VCN 所在區間的 `use subnets` VCN 所在區間的 `manage private-ips` VCN 所在區間的 `manage vnics` 管理佈建或佈建資料庫之區間的 vnics

或者，您可以建立一個原則，讓具有更廣泛網路元件存取權限的指定群組。

例如，您可以使用此原則允許 NetworkAdmin 群組管理租用戶中任何區間中的所有網路。

範例–網路管理員的原則

Allow group NetworkAdmin to manage virtual-network-family in tenancy

在資料庫 VCN 中建立復原服務子網路

使用 OCI 主控台，在您的資料庫虛擬雲端網路 (VCN) 中設定用於復原服務的專用子網路。

從導覽功能表中，選取網路，然後選取虛擬雲端網路。
便會開啟 VCN 清單頁面。所選區間中的所有 VCN 都會顯示在表格中。
選取您資料庫所在的 VCN。
使用這些步驟即可建立具有安全清單的復原服務子網路。如果您選擇使用網路安全群組，請略過此步驟。
1. 在 VCN 詳細資訊頁面中，選取安全頁籤。
2. 選取用於 VCN 的安全清單。您必須新增兩個輸入規則，才能允許目的地連接埠 8005 和 2484。
3. 在安全清單詳細資訊頁面中，選取安全規則頁籤。
  選取新增傳入規則並新增下列詳細資訊，以設定狀態性傳入規則，允許來自任何位置的 HTTPS 流量：
  - 來源類型：CIDR
  - 來源 CIDR：指定資料庫所在 VCN 的 CIDR。
  - IP 協定：TCP
  - 來源連接埠範圍：全部
  - 目的地連接埠範圍： 8005
  - 描述：指定傳入規則的選擇性描述，以協助管理安全規則。
4. 選取新增傳入規則，然後新增這些詳細資訊，以設定狀態性傳入規則，允許來自任何位置的 SQLNet 流量：
  - 來源類型：CIDR
  - 來源 CIDR：指定資料庫所在 VCN 的 CIDR。
  - IP 協定：TCP
  - 來源連接埠範圍：全部
  - 目的地連接埠範圍： 2484
  - 描述：指定傳入規則的選擇性描述，以協助管理安全規則。
  附註：
  在您的資料庫 VCN 中，選取只供復原服務的 IPv4 子網路。請勿選取已啟用 IPv6 的子網路，因為 Recovery Service 不支援使用已啟用 IPv6 的子網路。
5. 回到 VCN 詳細資訊頁面並選取子網路頁籤。
6. 選取建立子網路。
7. 建立專用子網路，或選取已存在於資料庫 VCN 中的專用子網路。Oracle 建議專用子網路使用 /24 (256 個 IP 位址) 的子網路大小。
8. 在子網路詳細資訊頁面中，選取安全頁籤。
9. 選取新增安全清單，即可新增包括允許目的地連接埠 8005 和 2484 之輸入規則的安全清單。
  
  附註：
  如果您的資料庫 VCN 限制子網路之間的網路流量，請確定將連接埠 2484 和 8005 的輸出規則從資料庫子網路新增至您建立的復原服務子網路。
使用這些步驟建立含有網路安全群組 (NSG) 的復原服務子網路。
1. 回到 VCN 詳細資訊頁面並選取子網路頁籤。
2. 在網路安全群組區段中，選取建立網路安全群組。
3. 使用下列其中一種支援的方法，設定使用 NSG 的安全規則：
  - 若要實作網路隔離，請為資料庫 VNIC 建立一個 NSG (新增傳出規則以允許連接埠 2484 和 8005) 和獨立的復原服務 NSG (新增傳入規則以允許連接埠 2484 和 8005)。
  - 建立並使用單一 NSG (搭配輸出和輸入規則) 作為資料庫 VNIC 和復原服務。
  「網路安全群組」頁面會列出您建立的 NSG。
在資料庫 VCN 中建立復原服務子網路之後，請繼續將此子網路註冊為復原服務子網路。Oracle 建議您為每個 VCN 註冊單一復原服務子網路。如果您已使用 NSG 實行安全規則，則必須一併將復原服務 NSG 新增至復原服務子網路。

註冊復原服務子網路

在資料庫 VCN 中建立用於復原服務的專用子網路之後，請使用此程序在復原服務中註冊子網路。

多重保護資料庫可以使用相同的復原服務子網路。為了確保所需的 IP 位址數目可以用於支援復原服務專用端點，您可以將多個子網路指定給多個受保護資料庫所使用的復原服務子網路。

附註：

在您的資料庫 VCN 中，選取只供復原服務的 IPv4 子網路。請勿選取已啟用 IPv6 的子網路，因為 Recovery Service 不支援使用已啟用 IPv6 的子網路。

請使用下列步驟來註冊「復原服務」子網路：

從導覽功能表，按一下 Oracle Database ，然後選取資料庫備份。
選取 Recovery Service Subnets 。
即會開啟「復原服務」子網路清單頁面。所選區間中的所有復原服務子網路都會顯示在表格中。
選取註冊復原服務子網路。
在註冊復原服務子網路面板中，輸入下列詳細資訊：
在「名稱」欄位中，輸入「復原服務」子網路的名稱。
在區間欄位中，選取要在其中建立復原服務子網路的區間。
在虛擬雲端網路欄位中，選取資料庫 VCN。選取區間以選取屬於不同區間的 VCN。
在子網路欄位中，選取您針對資料庫 VCN 中的復原服務作業所設定的專用子網路。選取區間即可從其他區間選取專用子網路。
(選擇性) 按一下 +Another 子網路，將其他子網路指派給復原服務子網路。如果單一子網路未包含足夠的 IP 位址以支援復原服務專用端點，則您可以指定多個子網路。
展開進階選項以輸入下列其他功能：
- 網路安全群組
- 標記
如果您使用網路安全群組 (NSG) 在資料庫 VCN 中實行復原服務的安全規則，則必須將復原服務 NSG 新增至復原服務子網路。復原服務 NSG 可以位於相同區間或其他區間中。不過，NSG 必須屬於與指定子網路所屬的相同 VCN。
1. 在網路安全群組段落中，選取使用網路安全群組控制流量。
2. 選取您在資料庫 VCN 中建立的復原服務 NSG。
3. 選取 +Another 網路安全群組以關聯多個 NSG (最多 5 個)。
(選用) 在標記命名空間欄位中，考慮新增標記命名空間，或使用現有的標記命名空間來標記控制項。
選取註冊。

您可以取代子網路或新增更多子網路，以支援所需的專用端點數目。

請使用下列步驟來更新現有的「復原服務」子網路：

在復原服務子網路詳細資訊頁面中，選取子網路頁籤。
選取新增子網路，然後選取要新增的子網路。
若要取代現有的子網路，請選取動作功能表，然後選取刪除。接著，您可以新增另一個子網路。

附註：

復原服務子網路必須至少與屬於您資料庫 VCN 的一個子網路關聯。

請使用下列步驟管理現有復原服務子網路的網路安全群組 (NSG)：

在 [ 網路安全性群組 ] 標籤中，選取 [ 新增網路安全性群組 ]。
選取並新增「復原服務」網路安全群組 (最多 5 個)。
若要移除 NSG，請選取資源並選取移除。

確定復原服務子網路可與 Oracle 服務通訊

您註冊的「復原服務子網路」需要與「復原服務」通訊。

若要存取服務，專用子網路的路由表必須包括Oracle Services Network 中的所有 IAD 服務。

確定您的資料庫已完全設定 TDE

使用復原服務時，您必須將資料庫完全 TDE 加密。

對於生於雲端的新資料庫，這應該已經完成。但如果您在 OCI 中建立 Stub 資料庫，並將資料庫從內部部署或其他地方移轉至 Oracle Database Cloud Service，則可能不符合所有條件。對於這些資料庫，您應該確認已符合備份至復原服務的先決條件。我有一個部落格文章，您可以在此處找到，其中概述要執行查詢的檢查內容。

您必須符合這 3 項條件：

您必須在資料庫中設定 WALLET_ROOT。如果您仍然使用 sqlnet.ora，則必須使用 dbaascli，為將使用「復原服務」的所有資料庫正確設定 WALLET_ROOT。若要對現有資料庫啟用 wallet_root SPFILE 參數，請執行：
```
dbaascli tde enableWalletRoot
```
附註：
不支援在 sqlnet.ora 中設定 ENCRYPTION_WALLET_LOCATION，因此將不再使用。
您需要為資料庫中的 CDB 與所有 PDB 設定加密金鑰。
所有表格空間都必須經過 TDE 加密，才能執行第一次備份。

關閉任何手動作業備份

在某些情況下，OCI 使用者會執行手動作業備份。這些備份是在標準工具之外執行，並支援時間點復原 (非 KEEP 備份)。

如果您正在執行上述任何類型的作業備份，請務必在此時將其關閉。若將作業備份執行至兩個不同的位置，會造成備份發生問題，而且可能會造成資料遺失情況。因此，在啟用自動備份之前，您必須先停用手動備份命令檔，以及處理作業到其他儲存體目的地。

附註：

如果您使用物件儲存備份的工具，並且切換至復原服務，工具將會自動進行切換，而且所有先前的備份都將維持可用狀態。