ZDLRA 23.1実装レシピ (2024/03/27)

https://blogs.oracle.com/infrastructure/post/zdlra-231-implementation-recipes

投稿者： Bryan Grenn | Master Principal Database Specialist

ZDLRAソフトウェア23.1は廃止されており、「スペース効率の高い新しい暗号化されたバックアップ機能をどこから利用すればよいのか」と疑問に思うかもしれません。

以下は、私がレシピに入る前に知っておくべきいくつかの項目です。

1)準備が整っていることを確認するために、いくつかの前提条件について説明します。

• 新機能を利用するには、保護されたデータベースでリリース19.18以上を使用する必要があります。
• クライアントにZDLRAクライアント・ライブラリ(libra.so)の最新のコピーがあることを確認する必要があります。
• この時点でサポートされているのはLinuxのみです
• RA 2022年4月21.1 PSU (21.1.202204-PSU)以上をソフトウェアに依存させる必要があります。

ヒント: 21.x以降、ほとんどのデータベース固有のファイルが$ORACLE_HOMEから$ORACLE_BASEに移動されました。これで、ライブラリを管理し、ノードを共有するすべてのデータベースに対して$ORACLE_BASEの下のウォレット・ファイルを管理するのに適しています。

2)  このソフトウェア・リリースには、チャネル構成RA_FORMATに含める必要がある新しいパラメータがあります。

新機能を利用するには、ZDLRAライブラリのチャネル・パラメータにRA_FORMAT=TRUEを追加する必要があります。

RA_FORMAT - このパラメータは、バックアップを新しいクライアント圧縮形式でフォーマットするようにZDLRAライブラリに指示します。この形式の違いは、ブロック内のデータを圧縮し、これを暗号化と組み合せることができることです。通常、RMAN圧縮ではバックアップ・セットが圧縮され(ブロック自体ではなく)、暗号化と組み合せるとバックアップ・セットが暗号化されます。圧縮または暗号化(あるいはその両方)はブロック・レベルで行われるため、仮想完全バックアップを作成し、格納されたバックアップセットを検証するZDLRA機能と互換性があります。

3) RA_FORMAT=TRUEを設定した後、後続の各増分L1バックアップは、この新しい形式でブロック・バックアップを送信します。圧縮はブロック・レベルで処理されるため、元の形式のブロックと新しい形式のブロックを混在させることができます。これにより、この機能を時間の経過とともに利用して、新しいL0バックアップをいつ取得するかを制御し、領域使用率の一時的な増加を計画できます。

4)この圧縮形式を利用しても、ACOライセンスは必要ありません。また、バックアップをZDLRAに送信する前に暗号化することを選択した場合、ASOライセンスは必要ありません。

5)ポリシー・レベルでAUTOTUNE_RESERVED_SPACEを有効にすると、この機能が実装されるときに予約が調整されます。特に、保護ポリシーにコンプライアンス・ウィンドウが設定されている場合は、自動チューニングを実装することを強くお薦めします。

レシピ#1 - データベースはTDEで、保存されている圧縮と暗号化を利用したい

TDEを実装している場合は、この新しい形式を利用してバックアップを圧縮し、バックアップのすべての部分が暗号化されていることを確認できます。すべてのバックアップ・ピースを完全に暗号化することは、抽出からの保護されたバックアップに対するMAA (Maximum Avalability Architecture)のベスト・プラクティスです。ASOライセンスを必要とせずに、バックアップを完全に暗号化できます。

1)新しいブロックの内容を圧縮するには、TDE表領域に対しても設定する必要があります。

RA_FORMAT= True

暗号化された表領域のメンバーであるデータファイルは、圧縮/暗号化ブロックを使用して新しいバックアップをフォーマットします。

TDE以外の表領域のメンバーであるデータファイルは、圧縮を使用して新しいバックアップをフォーマットします。

2)すべてのバックアップ・ピースが(TDE以外の表領域でも)完全に暗号化されるようにするには、次のことが必要です。

RMAN>暗号化の設定

TDE以外の表領域のメンバーであるデータファイルも、圧縮/暗号化ブロックを使用して新しいバックアップをフォーマットします。

これは、他のすべてのバックアップセットに影響します。アーカイブ・ログ・バックアップ、spfileバックアップおよび制御ファイル・バックアップはすべて暗号化バックアップセットになります。

3)リアルタイムREDOの暗号化

ZDLRAの宛先でENCRYPTION=ENABLEを設定します。

これにより、リアルタイムREDOを介して受信されるアーカイブ・ログが暗号化されて格納されます。

レシピ#1の捕捉

1. これにより、MAAのベスト・プラクティスに従って、すべてのバックアップ・ピースが保存時に暗号化されているとみなされます。
2. 保護されたデータベースから送信されるすべてのデータファイル・バックアップは、より少ない帯域幅を使用して圧縮され、暗号化されます。
3. TDE以外の表領域のデータファイル・バックアップも暗号化されます。
4. ZDLRA上のデータファイル・バックアップは、TDE暗号化データのデータファイル・バックアップの場合でも圧縮されて格納されます。これにより、領域使用率が最適化されます。
5. データファイルのバックアップは、圧縮形式でレプリケートされます。これにより、バックアップを別のデータセンターまたはCyber Vaultにレプリケートするときに、WANトラフィックが大幅に削減されます。
6. データファイルのバックアップは、圧縮形式でリストアされます。これにより、リストア操作中に使用される帯域幅が少なくなります。これは、ネットワークがボトルネックになる可能性がある場合に、同時DBリストアに特に役立ちます。

ノート:

1. この機能を実装していて、バックアップが完全に保存時に暗号化されるようにする場合は、TDE以外のデータファイルの新しいL0バックアップを実行する必要があります。

2. この機能を実装していて、OKVなしでクラウドへのコピー・プロセスを実行する場合は、TDE以外のデータファイルの新しいL0バックアップを実行する必要があり、クラウドに送信されるアーカイブ・ログ・バックアップ・セットがログ・スイープ中に作成されるようにする必要があります。リアルタイムREDOは、暗号化されていても、copy-to-cloudプロセスによって暗号化されているとはみなされません。

3.TDE表領域と非TDE表領域の両方がある場合は、アーカイブ・ログのRMAN圧縮を利用することもできます。TDE以外の表領域のデータに対する変更は圧縮されます。

• ログ・スイープを実行するときに、アーカイブ・ログの圧縮バックアップセットを作成できます。基本以外のアルゴリズムを使用するには、ACOが必要です。

レシピ#2 - データベースはTDEであり、圧縮を利用したい

TDEを実装している場合は、この新しい形式を利用してバックアップを圧縮できます。新しい圧縮形式を使用する場合、バックアップを完全に暗号化することは必須ではありませんが、バックアップを完全に暗号化することはMAAのベスト・プラクティスに従います。

レシピ#1に従って、バックアップを完全に暗号化することをお薦めします。

1)新しいブロックの内容を圧縮するには、TDE表領域に対しても設定する必要があります。

RA_FORMAT= TRUE

ノート: 多くの場合、データベースにはTDE表領域と非TDE表領域の両方があります。

• 暗号化された表領域のメンバーであるデータファイルは、圧縮/暗号化ブロックを使用して新しいバックアップをフォーマットします。
• TDE以外の表領域のメンバーであるデータファイルは、圧縮されたブロックで新しいバックアップをフォーマットしますが、RMANの暗号化が明示的にオンになっていないかぎり、暗号化しません。

このレシピでは、すべてのバックアップが暗号化されているとはかぎりません。アーカイブ・ログ、spfileおよび制御ファイルのバックアップは暗号化されません。また、TDE以外の表領域のバックアップは暗号化されません。

レシピ#2の捕捉

1. 保護されたデータベースから送信されるすべてのデータファイル・バックアップは、より少ない帯域幅を使用して圧縮されます。
2. ZDLRA上のデータファイル・バックアップは、TDE暗号化データのデータファイル・バックアップの場合でも圧縮されて格納されます。これにより、領域使用率が最適化されます。
3. データファイルのバックアップは、圧縮形式でレプリケートされます。これにより、バックアップを別のデータセンターまたはCyber Vaultにレプリケートするときに、WANトラフィックが大幅に削減されます。
4. データファイルのバックアップは、圧縮形式でリストアされます。これにより、リストア操作中に使用される帯域幅が少なくなります。これは、ネットワークがボトルネックになる可能性がある場合に、同時DBリストアに特に役立ちます。
5. 表領域内のほとんどのデータがTDE暗号化されていない場合、これにより、ACOライセンスなしでZDLRA上のリアルタイムREDOを圧縮できます。

オプション

TDE表領域と非TDE表領域の両方がある場合は、アーカイブ・ログのRMAN圧縮を利用することもできます。

• ログ・スイープを実行するときに、アーカイブ・ログの圧縮バックアップセットを作成できます。基本以外のアルゴリズムを使用するには、ACOが必要です
• リアルタイムREDOを使用する場合、ACOを必要とせずに任意の圧縮アルゴリズムを使用できます。

レシピ#3 - データベースはTDEではなく、保存されている圧縮と暗号化を利用したい

TDEを実装していない場合でも、この新しい形式を利用してバックアップを圧縮し、保存されているバックアップのすべての部分が暗号化されるようにできます。これは、ASOライセンスを必要とせずに実行でき、バックアップを完全に暗号化することはMAAのベスト・プラクティスに従います。

1)暗号化キーを格納するために暗号化ウォレットを作成(またはOKVを使用)し、CDBおよび各PDBのマスター暗号化キーを作成する必要があります。

2)チャネル設定で新しい機能をオンにする必要があります

RA_FORMAT= TRUE

ライブラリは、圧縮/暗号化ブロックを使用して新しいバックアップをフォーマットします。

3)暗号化を有効にする必要がある

RMAN>暗号化の設定

暗号化をオンに設定すると、ZDLRAライブラリはすべてのデータファイル・バックアップを暗号化し、すべての非データファイル・バックアップ・セットにも影響します。アーカイブ・ログ・バックアップ、spfileバックアップおよび制御ファイル・バックアップはすべて暗号化バックアップセットになります。

4) ZDLRAの宛先でリアルタイムREDO - ENCRYPTION=ENABLEを暗号化します。

これにより、リアルタイムREDOを介して受信されるアーカイブ・ログが暗号化されて格納されます。

レシピ#3の捕捉

保護されたデータベースから送信されるすべてのデータファイル・バックアップは、より少ない帯域幅を使用して圧縮され、表領域がそうでない場合でも暗号化されます。

ZDLRA上のデータファイル・バックアップは、圧縮されて暗号化されます。これにより、領域使用率が最適化されます。

データファイルのバックアップは、圧縮/暗号化形式でレプリケートされます。これにより、使用するWANトラフィックがはるかに少なくなり、バックアップを別のデータセンターまたはCyber Vaultにレプリケートする際に転送中の暗号化が保証されます。

データファイルのバックアップは、圧縮形式でリストアされます。これにより、リストア操作中に使用される帯域幅が少なくなります。これは、ネットワークがボトルネックになる可能性がある場合に、同時DBリストアに特に役立ちます。

オプション

アーカイブ・ログのRMAN圧縮を利用することもできます。

• ログ・スイープの実行時に、アーカイブ・ログの圧縮バックアップ・セットを作成できます。基本以外のアルゴリズムを使用するには、ACOが必要です

ノート:

1. この機能を実装していて、バックアップが完全に保存時に暗号化されるようにする場合は、すべてのデータファイルの新しいL0バックアップを実行する必要があります。

2. この機能を実装していて、OKVを使用せずにクラウドへのコピー・プロセスを実行する場合は、すべてのデータファイルの新しいL0バックアップを実行する必要があり、クラウドに送信されるアーカイブ・ログ・バックアップ・セットがログ・スイープ中に作成されるようにする必要があります。リアルタイムREDOは、暗号化されていても、copy-to-cloudプロセスによって暗号化されているとはみなされません。

3. リアルタイムREDOを使用している場合、そのREDOはZDLRAで暗号化されて受信(および格納)されるため、ZDLRAはそれらのバックアップセットをRMANで圧縮できません。

レシピ#4 - データベースはTDEではなく、クライアント圧縮を利用したい

TDEを実装していない場合でも、この新しい形式を利用してクライアント上のバックアップを圧縮し、ライフサイクル全体で圧縮しておくことができます。

ベスト・プラクティスは、バックアップを完全に暗号化することです。レシピ#3を実装することをお薦めします。

1)新しいブロックの内容を圧縮するには、設定する必要があります

RA_FORMAT= TRUE

ライブラリは圧縮ブロックで新しいバックアップをフォーマットしますが、バックアップは暗号化されません

レシピ#4の捕捉

1. 保護されたデータベースから送信されるすべてのデータファイル・バックアップは、より少ない帯域幅を使用して圧縮されます。
2. データファイルのバックアップは、圧縮形式でレプリケートされます。これにより、バックアップを別のデータセンターまたはCyber Vaultにレプリケートするときに、WANトラフィックが大幅に削減されます。
3. データファイルのバックアップは、圧縮形式でリストアされます。これにより、リストア操作中に使用される帯域幅が少なくなります。これは、ネットワークがボトルネックになる可能性がある場合に、同時DBリストアに特に役立ちます。
4. 暗号化キーを作成する必要はありません(暗号化はMAAベスト・プラクティスです)。

オプション

アーカイブ・ログのRMAN圧縮を利用することもできます。

• ログ・スイープを実行するときに、アーカイブ・ログの圧縮バックアップセットを作成できます。基本以外のアルゴリズムを使用するには、ACOが必要です
• リアルタイムREDOを使用する場合、ACOを必要とせずに任意の圧縮アルゴリズムを使用できます。

ノート: 帯域幅の問題のためにRMAN圧縮バックアップセットをZDLRAに現在送信している場合は、バックアップセットがライフサイクル全体で圧縮されたままになるため、これが適切な代替手段となります。

まとめ

レシピ#1 - データベースはTDEであり、MAAのベスト・プラクティスに従って保存されている圧縮と暗号化を利用したいと考えています。

• RA_FORMAT= TRUE
• RMAN>暗号化の設定
• ZDLRAの宛先でリアルタイムREDO ENCRYPTION=ENABLEを使用している場合。
• この機能が実装されているため、ポリシー・レベルでAUTOTUNE_RESERVED_SPACEを有効にして予約済領域を調整します

レシピ#2 - データベースはTDEであり、圧縮を利用したい

• RA_FORMAT= TRUE
• この機能が実装されているため、ポリシー・レベルでAUTOTUNE_RESERVED_SPACEを有効にして予約済領域を調整します

レシピ#3 - データベースはTDEではなく、MAAのベスト・プラクティスに従って保存されている圧縮と暗号化を利用したいと考えています。

• 暗号化キーを格納する暗号化ウォレットを作成(またはOKVを使用)し、CDBおよび各PDBのマスター暗号化キーを作成します。
• RA_FORMAT= TRUE
• RMAN>暗号化の設定
• ZDLRAの宛先でリアルタイムREDO ENCRYPTION=ENABLEを使用している場合。
• この機能が実装されているため、ポリシー・レベルでAUTOTUNE_RESERVED_SPACEを有効にして予約済領域を調整します

レシピ#4 - データベースはTDEではなく、暗号化を実装せずにクライアント圧縮を利用したいと考えています。

• RA_FORMAT= TRUE
• オプション-- ログ・スイープ中にRMAN圧縮を使用します(高度なアルゴリズムにはACOが必要)、リアルタイムREDOログには圧縮を使用します(ACOは不要)。
• この機能が実装されているため、ポリシー・レベルでAUTOTUNE_RESERVED_SPACEを有効にして予約済領域を調整します