設定適用於 Oracle Exadata Database Service on Dedicated Infrastructure 的 Oracle Data Guard

Oracle Exadata Database Service on Dedicated Infrastructure資料保全支援用於通透資料加密 (TDE) 的 Oracle 管理金鑰和客戶管理的金鑰。Oracle 管理的金鑰使用以密碼為基礎的公事包來儲存及管理 TDE 金鑰,而客戶管理的金鑰則可讓您在 OCI 保存庫中儲存及管理 TDE 金鑰。Oracle Exadata Database Service on Dedicated Infrastructure 預設會使用 Oracle 管理的金鑰。

驗證安全原則和動態群組

如果您的資料庫使用 OCI Vault 來儲存客戶管理的金鑰,則必須依照下列步驟進行,以確認所有必要的安全原則和動態群組均已正確設定。如果您的資料庫使用 Oracle 管理的金鑰,您可以略過此段落。

  1. 在 OCI 主控台中,瀏覽至主功能表並按一下 Identity & Security
  2. 按一下動態群組
    在較新的租用戶上,按一下網域,然後按一下動態群組
  3. 確認已使用類似下列的規則設定動態群組:
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. 瀏覽至 Identity & Security ,然後按一下 Policies
    確認具有下列規則的安全原則存在:
    Allow service keymanagementservice to manage vaults in tenancy
    Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
    compartment_name_where_OCI_Vault_is_configured
    Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

驗證 OCI 保存庫複寫

如果您在兩個區域之間設定 Oracle Data Guard ,而您的資料庫使用客戶管理的金鑰,則必須在兩個區域之間複製虛擬專用保存庫。如果您的資料庫使用 Oracle 管理的金鑰,您可以略過此段落。以下步驟描述如何確認虛擬專用保存庫正跨兩個區域複寫。

  1. 瀏覽至 OCI 功能表,然後按一下識別與安全性
  2. 按一下「 Vault 」。
  3. 在可用的保存庫清單中,確認將「資料保全關聯」中資料庫所要使用的保存庫資料欄虛擬專用設為
    如果保存庫尚不存在,請按一下建立保存庫,然後提供保存庫的名稱。選取將它設為虛擬專用保存庫選項,然後按一下建立保存庫
  4. 請確定將虛擬專用保存庫複寫至待命資料庫的建立區域:
    1. 瀏覽至 OCI 功能表,然後選取 Identity & Security
    2. 按一下「 Vault 」。
    3. 選取要用於「資料保全關聯」中資料庫的保存庫。
      如果為此 Vault 啟用 Vault 複製,則 Vault 頁面將顯示「複製角色」和「複製詳細資訊」。如果未顯示「複製」資訊,則不會複製 Vault。
  5. 若要將 Vault 複製到另一個區域,請按一下複製 Vault 。選取要設定待命資料庫的區域,然後按一下建立複本
    保存庫會複製到另一個區域,並且可在幾分鐘後建立資料保全關聯。
  6. 確認現有資料庫的所有現有金鑰已從來源保存庫複寫至複本保存庫。
  7. 在來源保存庫上,為新資料庫建立新金鑰,並確認它們已複製到複本保存庫。

設定區域內 Oracle Data Guard

這些步驟描述如何對相同區域中的 Oracle Exadata Database Service on Dedicated Infrastructure 資料庫啟用 Oracle Data Guard

  1. 瀏覽至 OCI 功能表,然後按一下 Oracle Database
  2. 按一下 Oracle Exadata Database Service on Dedicated Infrastructure
  3. 選取已設定 Oracle Exadata Database Service on Dedicated Infrastructure VM 叢集的區間。
  4. 選取要設定 Oracle Data Guard 的資料庫所在的 VM 叢集。
  5. 按一下資料庫名稱以選取資料庫。
  6. 在「資源」底下,按一下資料保全關聯
  7. 按一下新增待命資料庫。將開啟「新增待命」視窗,您的資料庫版本決定顯示的選項。11g 和 12c 版本的資料庫支援資料保全關聯,而 19c 和更新版本的資料庫則支援資料保全群組。選取是要設定資料保全關聯還是資料保全群組。
  8. 設定資料保全選項:
    • 對等區域:預設會顯示所選資料庫的區域。您可以在此區域設定 Oracle Data Guard 組態。
    • 可用性網域:預設會顯示所選資料庫的可用性網域。如果要將待命資料庫設定在與主要資料庫相同的可用性網域上,請使用此可用性網域。否則,請選取其他可用性網域。
    • Exadata 基礎架構:選取將執行待命資料庫的 Exadata 基礎架構。
    • Data Guard 對等資源類型:選取 VM 叢集。
    • VM 叢集:選取要執行待命資料庫的 VM 叢集。如果待命資料庫將在不同區間的 VM 叢集上執行,請選取對應的區間。依照預設,會選取與主要資料庫相同的區間。
    • 資料保全類型:選取資料保全作用中資料保全Active Data Guard 可能需要額外授權。
    • 保護模式:選取「最大效能」或「最大使用狀態」。
    • 傳輸:依據選擇的「保護模式」,同步或非同步。如果「保護模式」為「最大效能」,則傳輸為非同步。如果「保護模式」是「最大使用狀態」,則「傳輸」會是「同步」。
    • 資料庫本位目錄:選取現有資料庫本位目錄或建立新的資料庫本位目錄。請確定資料庫本位目錄執行與主要資料庫相同的 Oracle 資料庫軟體版本和修正程式。
    • 資料庫唯一名稱:(選擇性) 提供對等待命資料庫的資料庫唯一名稱。如果未提供資料庫唯一名稱,OCI 介面預設會自動為待命資料庫設定資料庫唯一名稱。
    • 密碼:提供主要資料庫的 sys 密碼。使用 Oracle 管理的金鑰時,sys 密碼和 TDE 公事包密碼必須相同。
    • TDE 密碼:輸入主要資料庫的 TDE 密碼。使用 Oracle 管理的金鑰時,sys 和 TDE 密碼可能會相同。
  9. 按一下新增待命資料庫
工作要求完成之後,會在待命 VM 叢集中建立新的資料庫,並在兩個資料庫之間建立「資料保全群組」或「關聯」。新資料庫設定為待命資料庫。

設定跨區域 Oracle Data Guard

這些步驟描述如何為不同區域中的 Oracle Exadata Database Service on Dedicated Infrastructure 資料庫啟用 Oracle Data Guard

  1. 在您的 OCI 租用戶中,選取主要資料庫的設定區域。
  2. 為設定主要資料庫的 VCN 建立遠端對等互連連線:
    1. 選取「網路」,然後選取「虛擬雲端網路
    2. 選取客戶連線
    3. 選取動態路由閘道。選取現有的動態路由閘道 (DRG),或建立新的動態路由閘道 (如果還沒有動態路由閘道)。
    4. 從「動態路由閘道」功能表中選取虛擬雲端網路連附項。如果虛擬雲端網路連附項不存在,請建立虛擬雲端網路連附項。
    5. 從「動態路由閘道」功能表,選取「遠端對等互連連線連附項」,然後按一下建立遠端對等互連連線。輸入「遠端對等互連連線」的名稱,然後按一下建立遠端對等互連連線
      這會在對等互連狀態新建 (非對等互連) 中建立遠端對等互連連線連附項。遠端對等互連連線連附項包括從主要資料庫的 VCN 到 DRG 所需的路由。
  3. 建立從主要資料庫 VCN 到待命資料庫 VCN 的路由:
    1. 從 OCI 功能表中,選取網路,然後選取虛擬專用網路。選取主要資料庫區域的 VCN。
    2. 從 VCN 功能表中,選取路由表,然後選取專用子網路的路由表。
    3. 新增將設定待命資料庫的 VCN 路由。
      例如,如果待命資料庫將在 IP 位址為 10.1.0.0/16 的 VCN 中設定,則請使用 DRG 新增目的地 10.1.0.0/16 的路由。
  4. 將傳入安全規則新增至專用網路安全清單,以允許從已設定待命資料庫的網路連線至連接埠 1521 (使用上述範例,網路 10.1.0.0/16)。
  5. 選取待命資料庫將執行的區域。
  6. 為要設定待命資料庫的 VCN 建立遠端對等互連連線:
    1. 從 OCI 功能表中,選取網路,然後選取虛擬雲端網路
    2. 選取客戶連線
    3. 選取動態路由閘道,然後選取現有的 DRG。Create one if one does not already exist, and select the new DRG.
    4. 從「動態路由閘道」功能表,選取「虛擬雲端網路連附項」。建立 VCN 連附項 (如果還沒有附件的話) .
    5. 從「動態路由閘道」功能表,選取遠端對等互連連線連附項,然後按一下建立遠端對等互連連線。輸入「遠端對等互連連線」的名稱,然後按一下建立遠端對等互連連線
      系統會建立新的對等互連狀態 (非對等互連) 的遠端對等互連連線連附項。遠端對等互連連線連附項將包含從待命資料庫的 VCN 到 DRG 所需的路由。記下在對等互連步驟期間將使用的遠端對等互連連線 OCID。
  7. 建立從待命資料庫 VCN 到主要資料庫 VCN 的路由:
    1. 從 OCI 功能表中,按一下網路,然後按一下虛擬專用網路。選取將設定待命資料庫之區域的 VCN。
    2. 從「虛擬雲端網路」功能表中,依序按一下路由表和專用子網路的路由表。
    3. 新增主要資料庫設定所在 VCN 的路由。
      例如,如果主要資料庫是在 IP 位址為 10.0.0.0/16 的 VCN 上執行,請使用 DRG 新增目的地 10.0.0.0/16 的路由。
  8. 將傳入安全規則新增至專用網路安全清單,以允許從設定主要資料庫的 VCN 連線至連接埠 1521 (使用上述範例,從網路 10.0.0.0/16)。
  9. 在主要資料庫的區域中,瀏覽至 OCI 功能表,然後選取網路。按一下虛擬雲端網路,然後選取主要資料庫執行所在網路的 VCN。
  10. 按一下遠端對等互連連線連接連附項
    在步驟 2.e 中建立的遠端對等互連連線會顯示在「新對等互連狀態」(未對等互連) 中。
  11. 按一下「遠端對等互連連線」名稱。
    會顯示「遠端對等互連連線」詳細資訊。
  12. 從「遠端對等互連連線」詳細資訊頁面,按一下建立連線
    將開啟一個新視窗。
  13. 選取待命資料庫將執行所在的區域,以及待命遠端對等連線的 OCID (步驟 6.e 的 OCID)。
    如果對等互連成功,對等互連狀態將會從「新建」、「待處理」變更為「對等互連」。
    現在建立兩個區域 VCN 之間的網路通訊,並且可以設定跨區域 Data Guard。
  14. 從 OCI 功能表中,按一下 Oracle Database ,然後按一下 Oracle Exadata Database Service on Dedicated Infrastructure
  15. 選取主要資料庫 VM 叢集的設定區間。
  16. 選取包含要設定 Oracle Data Guard 之資料庫的 VM 叢集。
  17. 按一下資料庫名稱以選取資料庫。
  18. 在「資源」底下,按一下資料保全關聯
  19. 按一下新增待命資料庫。將開啟「新增待命」視窗,您的資料庫版本決定顯示的選項。11g 和 12c 版本的資料庫支援資料保全關聯,而 19c 和更新版本的資料庫則支援資料保全群組。選取是要設定資料保全關聯還是資料保全群組。
  20. 設定資料保全選項:
    • 區域:選取待命資料庫將執行所在的區域。此為跨區域 Oracle Data Guard 組態,因此必須提供不同的區域。
    • 可用性網域:選取部署待命 Oracle Exadata Database Service on Dedicated Infrastructure 的可用性網域。
    • Exadata 基礎架構:選取將執行待命資料庫的 Exadata 基礎架構。
    • VM 叢集:選取要執行待命資料庫的 VM 叢集。如果待命資料庫將在不同區間的 VM 叢集上執行,請選取對應的區間。依照預設,會選取與主要資料庫相同的區間。
    • 資料保全類型:選取「資料保全」或「作用中資料保全」。Active Data Guard 可能需要額外授權。
    • 保護模式:選取「最大效能」。這是跨區域資料保全唯一支援的選項。
    • 傳輸:選取非同步。這是跨區域資料保全唯一支援的選項。
    • 資料庫本位目錄:選取現有資料庫本位目錄或建立新的資料庫本位目錄。請確定資料庫本位目錄執行與主要資料庫相同的 Oracle 資料庫軟體版本和修正程式。
    • 資料庫唯一名稱:(選擇性) 輸入對等待命資料庫的資料庫唯一名稱。如果未輸入資料庫唯一名稱,OCI 介面預設會自動為待命資料庫設定資料庫唯一名稱。
    • 密碼:提供主要資料庫的 sys 密碼。使用 Oracle 管理的金鑰時,sys 密碼和 TDE 公事包密碼必須相同。
    • TDE 密碼:輸入主要資料庫的 TDE 密碼。使用 Oracle 管理的金鑰時,sys 和 TDE 密碼可能會相同。
  21. 按一下新增待命資料庫
工作要求完成之後,會在待命 VM 叢集中建立新的資料庫,並在兩個資料庫之間建立「資料保全群組」或「關聯」。新資料庫設定為待命資料庫。