Oracle Zero Data Loss Autonomous Recovery Service

此图介绍了可一键启用的实时数据保护功能，它将 Recovery Service 配置为受保护数据库的备用日志目标。当在数据库内存中生成重做更改时，这些更改会自动发送到 Recovery Service 并在收到时进行验证。切换数据库日志时，Recovery Service 会自动创建压缩的归档日志备份并将其注册到恢复目录中。

即使与受保护数据库的连接在典型的日志切换事件之间中断，Recovery Service 仍可保留恢复到上次提交的事务的可恢复性。如果 redo stream 意外终止，Recovery Service 将关闭传入的 redo stream 并创建部分归档的重做日志文件备份。当 Recovery Service 检测到 redo stream 已重新启动时，会自动从受保护的数据库检索所有丢失的归档重做日志文件，以保持恢复窗口不变。

恢复验证贯穿整个备份生命周期

验证不仅限于备份完整性检查，还验证成功进行时间点数据库恢复所需的功能，从而增强您的恢复能力。

此图标题为“连续数据库感知的异常检测和恢复验证”，介绍了 Oracle Database Zero Data Loss Autonomous Recovery Service 如何提供独特的恢复就绪性：

1. 在存储到磁盘之前验证传入重做流和 RMAN 备份流。拒绝损坏的数据（RMAN 无法读取）
2. 定期验证静态备份，验证 RMAN 时间点恢复所需的所有数据库事务处理 (SCN) 均可用
3. 在通过网络传输之前验证传出的还原、备份副本和复制的备份。

Autonomous Recovery Service 提供独特的恢复就绪功能：在每个接触点进行多因素的、数据库恢复感知的验证，包括对静态备份定期进行恢复验证 — 在不增加生产数据库服务器开销的情况下自动进行。

基于策略的访问控制和备份不可变性

通过深度防御基础来保护备份，包括分离生产和数据保护基础设施、基于角色的职责分离以及通过保留锁定策略确保备份不可变性。

此图标题为“通过多层防护措施确保备份完整性和访问安全”，介绍了 Recovery Service 内置的关键安全优秀实践，包括：

• Recovery Service 从设计上就考虑了与它所保护的生产数据库实现故障隔离。它利用与客户租户的专用端点连接，在 Oracle 托管的租户内运行。
• 所有备份都必须加密，并且客户可以在 Recovery Service 保护策略中启用保留锁定，使备份不可变；禁止删除备份或缩短保留期。
• 数据库管理员 (DBA) 和 Recovery Service 管理员之间通过访问控制实现职责分离

由 Recovery Service 管理的备份不能被任何管理员或用户任意修改或删除，以此防止恶意删除和意外删除。数据库管理员 (DBA) 只能通过 Recovery Manager (RMAN) 与 Recovery Service 交互 — RMAN 负责编排所有备份和还原操作。从逻辑和物理两个层面上与客户租户分离，增加了安全深度；如果 DBA 或系统管理员凭证被泄露，则无法使用这些凭证来攻击驻留在服务上的备份。

内置的保留默认值和用户定义的策略可帮助您始终满足备份保留的服务级别协议和合规要求，包括一个至少 14 天的恢复窗口，以防止因人为错误或恶意操作导致备份丢失。如果已终止（删除）受保护的数据库，Recovery Service 会自动将其备份保留至少 72 小时，以此为意外的数据库删除场景提供安全网。

所有受保护的数据库都与一个保护策略（定义如何在整个生命周期中管理备份）相关联，包括复制、保留（时间点恢复窗口）和保留锁定设置，以实现备份不可变性。