Zero Data Loss Recovery Appliance 常见问题解答

什么是 Oracle Zero Data Loss Recovery Appliance？

Oracle Zero Data Loss Recovery Appliance 是一个专为 Oracle AI Database 的安全保障和网络弹性而构建的 Oracle 集成系统。Recovery Appliance 与 Oracle AI Database 共同开发而成，提供独特的快速、可预测的零数据丢失数据恢复功能，有助于简化运营管理、提高资源效率并降低业务风险。

此外，恢复自动化、备份不变性和高可用性架构可帮助企业满足对于保护和快速恢复关键数据的要求。

Recovery Appliance 是否提供云技术版本？

可以，Oracle Database Zero Data Loss Autonomous Recovery Service 是一款完全托管的公有云产品，利用相同的零数据丢失技术以及内置的云技术自动化功能。该项服务运行于完全由 Oracle 云技术工程师管理的 Recovery Appliance。Oracle 公有云环境 (OCI) 和多云环境（Oracle Database@AWS、Oracle Database@Azure 和 Oracle Database@Google Cloud）均提供 Recovery Service。

支持哪些 Oracle AI Database 版本？

Recovery Appliance 支持运行 Oracle Database 以及 Oracle AI Database 26ai、Standard 和 Enterprise Editions 的异构环境。

Recovery Appliance 提供哪些接口选项？

Oracle 建议您使用 Oracle Enterprise Manager Cloud Control 用户界面来管理和监控环境。面向 Recovery Appliance 的 Cloud Control 插件为每个数据库的完整备份生命周期提供了统一视图，无论该备份是位于磁盘、磁带还是其他 Recovery Appliance 上。

虽然 Cloud Control 是 Recovery Appliance 管理的推荐用户界面，但 Oracle 也提供了 DBMS_RA PL/SQL 程序包以作为命令行替代方案。如需进行命令行监控和报告，您只需查询 Recovery Appliance 目录视图。

文件系统数据或任何非 Oracle 数据库是否可以备份到 Recovery Appliance？

不可以，Recovery Appliance 是专为 Oracle AI Database 的安全保障和网络弹性而打造的。

一体机架构中内置了哪些弹性和容错功能？

Recovery Appliance 是一款 Oracle 集成系统，提供弹性架构，其中包含了集成的软件、计算和存储服务器以及内置的 Oracle Maximum Availability Architecture (MAA) 优秀实践，且不会出现单点故障。Recovery Appliance 基于 Oracle Exadata 架构构建而成，继承了其经过验证的可靠性、可扩展性、冗余性和性能。

Recovery Appliance 的设计旨在使其与所保护的生产数据库实现故障隔离。即使生产数据库遭受网络攻击，Recovery Appliance 也不会受到影响。

如何启用实时 redo 传输来提高弹性？

Recovery Appliance 原生集成了 Oracle Data Guard 的 redo 传输技术，可取代 15 分钟、几小时甚至是一天备份一次的操作，将 Recovery Point Objective (RPO) 缩短至不到一秒钟的时间。如需在不丢失数据的情况下持续保护和恢复事务处理，您只需在受保护的数据库上启用实时 redo 传输。当数据库在内存中生成 redo 更改时，redo 块会自动发送到 Recovery Appliance，Recovery Appliance 以进行验证。切换数据库日志时，Recovery Appliance 会自动创建压缩归档日志备份并将其编入目录。

如果启用了实时 redo 传输，但一体机连接断开了，会发生什么情况？

如果 redo stream 意外终止，Recovery Appliance 将关闭传入的 redo stream 并创建部分归档的重做日志文件备份，以此保护最后收到变更的事务处理。当 Recovery Appliance 检测到 redo stream 已重新启动时，就会自动从受保护的数据库检索所有丢失的归档重做日志文件，以保留用户定义的预期恢复窗口。

如果 Recovery Appliance 上已有 redo 日志，是否仍需要增量备份？

可以，与恢复和应用几天或几周前的存档日志备份相比，每日增量备份可使恢复过程更快、更高效。

如果启用了实时 redo 传输，是否仍需要进行归档日志备份？

不需要。Recovery Appliance 可在数据库事务处理发生时对其进行保护，然后在切换数据库日志时，自动创建归档日志备份。由于归档日志备份已经驻留在 Recovery Appliance 上，因此无需执行归档日志备份并将定期归档日志备份发送给一体机。

是否支持具有气隙隔离复制的 Cyber Vault 策略？

Recovery Appliance 支持用于灾难恢复或高可用性目的的连续复制以及用于 Cyber Vault 配置的气隙隔离复制。与部署在网络保险库中的 Recovery Appliance 的网络连接由防火墙/网关控制。这就形成了一个“空隙”，限制环境可通过网络访问的时间，从而减少攻击媒介。

Recovery Appliance 的永久增量备份策略在初始完全备份后仅需要复制增量变化数据，有助于尽可能缩短 Vault 的在线窗口。使用内置访问控制和 Enterprise Manager 创建安全配置，确保没有任何用户能够 100% 访问所有环境（例如主 Recovery Appliance、副本和网络保险库）。如有需要，可恢复到安全隔离环境或其他环境。

是否可以在 Data Guard 备用数据库上将备份写入 Recovery Appliance？

可以，无论是从主数据库还是备用数据库进行备份时，都可以采用永久增量策略。如果在主库和备库上都执行备份操作，那么每个 Recovery Appliance 都会存储同一个数据库的备份和 redo 日志信息。因此，任意 Recovery Appliance 都可以用于 RMAN 的还原和恢复操作。

一体机中内置了哪些安全优秀实践？

Recovery Appliance 平台采用纵深防御架构，遵循多项安全优秀实践，包括：

• 精简代码和安装包，仅在一体机上运行必需的服务
• Oracle Integrated Lights Out Manager (ILOM) 可实现安全、快速的远程管理
• 所有登录和配置变更操作均有审计记录
• Exadata 数据清理和 Exadata 校验检查
• 存储服务器启用防火墙 (iptables)
• 启用操作系统用户审计
• 强制执行强化的密码策略

Recovery Appliance 如何减少典型攻击向量并降低攻击面？

虽然部署采用客户端/服务器架构，但其连接范围已从本质上尽可能缩小，仅限于 Oracle 数据库生态系统，而非扩展至采用不同安全协议的各类应用。受保护数据库（客户端）与 Recovery Appliance 之间的通信由 RMAN 协调管控，该工具负责控制备份和恢复操作中的所有数据移动。

Recovery Appliance 仅接收预注册数据库的备份数据，且这些数据库需配备由一体机管理员配置的授权虚拟私有目录 (VPC) 用户账户（即数据库管理员）。在数据摄取过程中，所有备份数据需先通过（RMAN 可读性）验证，然后才能存储至磁盘。同时，作为典型攻击向量的 .exe 文件将被完全拒绝接收。

通过在所有 Oracle 数据库中采用永久增量备份策略实现运维管理标准化，有助于消除因在环境中使用各种数据库脚本而产生的额外开销和风险。Recovery Appliance 提供云技术级别的性能和可扩展性，支持您为数十个、数百个乃至数千个 Oracle 数据库提供集中化数据保护，有效缩小攻击面。

Recovery Appliance 是否具有职责分离和基于角色的访问控制？

可以，Recovery Appliance 环境由三个主要用户组组成 — Cloud Control 管理员、数据库管理员 (DBA) 和 Recovery Appliance 管理员。其用户模型实现了职责分离，数据库、Recovery Appliance 和任何相关设备的角色彼此独立。每个用户组可被授予于其角色相关的任务访问权限，用户无法访问未获权限的其他系统。这使得企业能够实施安全协议，例如确保没有任何用户能够同时拥有生产数据和备份数据的修改权限。

在规模较大的环境中，可能包括多台 Recovery Appliance，其中一台会复制到另一台以用于灾难恢复和/或网络保险库。每台 Recovery Appliance 都维护着自己的授权用户集和保护策略，这些策略可能与上游一体机保持一致，也可能有所不同。

有关更多详情，请参见文档。

拥有 SYSDBA 权限的用户是否可以覆盖 Recovery Appliance 的保护策略设置？

不能。受保护数据库的备份在其整个生命周期内均根据 Recovery Appliance 上定义的关联保护策略进行管理。DBA 执行 RMAN DELETE OBSOLETE 或 DELETE DATABASE ALONG WITH BACKUPS 命令时，可能会对本地管理的备份（如有）产生影响，但不会影响 Recovery Appliance 管理的备份，无论这些备份是位于 Recovery Appliance 上，还是已复制到其他介质中。

一体机的 root 访问权限如何保障安全？

如果组织有严格的安全和合规要求，可以通过要求获得系统权限或 root 访问权限的用户法定人数来强化操作并降低单个用户账户的风险。配置之后，只有在另外两个管理员批准请求的情况下，才能在规定的时间内向某一管理员授予 root 访问权限。

要深入了解如何通过要求用户法定人数来保障操作安全，请参阅文档。

如果实施了 Oracle Transparent Data Encryption (TDE)，对备份存储使用有何影响？

Recovery Appliance 与 TDE 数据格式的集成，为数据保护提供了独特的节省空间优势。数据库在备份过程中会进行压缩处理，以更少的存储消耗实现更高的性能。通过结合使用备份压缩与永久增量策略，有助于尽可能提高效率，减少备份存储消耗，并降低总体成本。

备份加密密钥是否存储在一体机上？

不是。通过 TDE 保障安全的受保护数据库，其加密密钥由数据库管理，并存储在 Oracle Wallet 或 Oracle Key Vault 中。

Recovery Appliance 是否可以强制要求所有备份进行加密？

可以，这是一项可选的保护策略设置。在保护策略中，开启安全模式后，Recovery Appliance 接收的所有备份和 redo 均需进行加密。此设置将适用于与该策略关联的所有受保护数据库。

Recovery Appliance 是否支持备份不可变性？

可以，通过 Recovery Appliance 保护策略，您可以设置合规性保留期，在此期间内禁止删除备份或缩短保留期。备份不可变性可以进一步应用于从一体机发送到 OCI 或 ZFS 监管合规存储桶的归档副本，以实现长期不可变的保留期。

如需了解有关备份不可变性或设置策略以满足依法保留要求的更多信息，请参阅相关文档。

备份数据和恢复数据如何通过网络安全地传输？

Recovery Appliance 采用 Transport Layer Security (TLS) 实现端到端通信加密。Recovery Appliance 和客户机数据库之间的 TLS 通过证书来验证和加密通信。有关更多详情，请参见文档。

是否可以使用不可路由的网络来隔离传输中的备份和恢复数据？

可以，Recovery Appliance 支持通过 VLAN 标签实现网络隔离。对于处于不可路由网络区域的受保护数据库，可使用 VLAN 标签的网络隔离备份和恢复流量。

受保护数据库如何与一体机建立连接并通信？

受保护数据库通过标准数据库安装中附带的 Zero Data Loss Recovery Appliance Backup Module (libra)，可轻松将一体机设为您的备份目标。该模块是 Oracle 提供的 SBT 库，RMAN 使用该库通过网络将备份数据传输到 Recovery Appliance。

是否需要 Oracle Recovery Manager (RMAN) 目录？

不需要。Recovery Appliance 具有完全托管的内置目录，可提供 RMAN 目录的所有优势，同时还可处理 Recovery Appliance 策略、设置和操作的元数据。但是，您可以将现有的 RMAN 目录导入到一体机的目录中，或者使用 RMAN REGISTER DATABASE 命令。

Recovery Appliance 的打补丁过程是怎么样的？

Recovery Appliance 每季度发布补丁包，其中包含所有必要的软件和固件更新。作为 Oracle Engineered System，Oracle Platinum Services 提供主动补丁程序部署流程，确保设备始终处于理想的维护状态。有关此免费服务及其提供的远程打补丁帮助的更多信息，请参阅 My Oracle Support Doc ID 2063633.1。

恢复数据时，DBA 是否需要指定“恢复来源”位置（例如磁盘、磁带、云技术平台、副本）？

不需要。Recovery Appliance 会自动跟踪备份、副本和归档副本以及每个副本相应的保留期。一体机将自动从最优来源启动恢复流程。例如，如果备份已不在本地 Recovery Appliance（初始备份位置），而是位于副本和磁带上，恢复操作将直接从副本获取数据，因为恢复速度通常会比磁带快，且无需用户干预。

管理员如何主动监控数据库的设备运行状况和保护状态？

Cloud Control 中的 Recovery Appliance 主页提供了环境和活动的当前概览，并重点显示任何警告、警报和错误。一体机原生集成了 Cloud Control 事件通知框架，让您能够有效管理出现的任何问题，并跟踪问题直到解决为止。

是否可以生成自动警报以通知管理员存在紧迫或潜在问题？

可以，在主页仪表盘之外，还可以根据 Recovery Appliance 的 Enterprise Manager 指标和收集设置页中的用户自定义参数向相关方发送警报。此页面包含系统运行状态、受保护数据库和存储等类别。管理员可以修改收集指标频率（默认值通常为 5 分钟或 15 分钟），并设置警告阈值和严重阈值以触发警报。

有关更多信息，请参阅监控 Recovery Appliance。

Recovery Appliance 是否提供开箱即用的报告？

可以，Recovery Appliance 提供一系列详细和摘要报告，帮助有效管理、主动规划，并让关键利益相关者及时了解性能、容量、当前保护状态和风险暴露情况。这些报告内置于 Oracle Analytics Publisher 中，可按需访问或设置计划任务自动发送给管理团队。

Oracle Analytics Publisher 既可作为完整 Oracle Analytics Server 套件的组件使用，也可独立安装。有关更多信息，请参阅访问 Recovery Appliance 报告。

Recovery Appliance 的最小和最大配置是什么？

Recovery Appliance RA23 或 RA23-Z 基础机架由 2 台计算服务器和 3 台存储服务器组成。可逐步添加额外存储服务器，单个完整机架最多可容纳 17 台存储服务器。单个 Recovery Appliance 配置可扩展至 18 个完整机架，包含 36 台计算服务器和多达 306 台存储服务器。

有关更多详情，请参阅 Recovery Appliance 产品介绍 (PDF)。

Recovery Appliance RA23 和 RA23-Z 的配置有何不同？

Recovery Appliance RA23 和 RA23-Z 只是每台存储服务器的 High Capacity (HC) 磁盘容量和数量不同，其他配置完全相同。一台 RA23 存储服务器配有 12 个 HC 磁盘驱动器，提供 92 TB1 的容量。而 RA23-Z 存储服务器经过了成本优化，每台服务器通过 6 个 HC 磁盘提供 45 TB¹ 的容量，可满足客户对更少容量和吞吐量的需求。

同一 Recovery Appliance 中是否可以同时使用 RA23 和 RA23-Z 存储服务器？

不可以。单个 Recovery Appliance 的配置中必须使用同一款存储服务器：RA23 或 RA23-Z。不过，在复制环境下这两款存储服务器都可以使用 — 您可以将备份从 Recovery Appliance RA23 复制到 RA23-Z，或反向复制。

随着配置中机架数量增加，性能是否呈线性增长？

可以，每增加一个 Recovery Appliance 机架即包含 2 台计算服务器，可提高可用吞吐量和性能。例如，将 3 个机架整合为单一 Recovery Appliance 配置后，可获得相当于 6 台计算服务器的运算能力与吞吐量，以及 9 至 51 台存储服务器的容量。虽然单个机架内的存储服务器可从最低 3 台扩展至 17 台，但每个机架始终配备 2 台计算服务器，这正是实现最大机架容量所需的有效运算支持。

Recovery Appliance 联机时是否可以添加额外的存储服务器？

可以，添加 Recovery Appliance 存储服务器无需停机，可在设备联机时完成。

是否可以将 Exadata 直接连接到 Recovery Appliance 以加快备份/恢复速度？

Recovery Appliance 可配置 100Gb 架顶式 (top-of-rack，ToR) 交换机，为 Exadata 托管的受保护数据库创建专用备份/恢复网络。这种直接连接有助于优化整体吞吐量（这对大型数据库备份尤其有利），并消除通过共享数据中心备份网络可能造成的拥塞延迟。

具有严格安全要求的客户常采用此策略，既提升性能又隔离关键数据库应用的网络流量。

此解决方案如何优化 TDE 加密数据库的备份性能？

Recovery Appliance 通过集成 TDE 数据格式，在保持数据库静态加密的同时，提供创新的压缩技术和永久增量备份功能，有效降低存储消耗。采用空间优化加密备份技术，可实现比通用存储方案高达三倍的存储空间节省与两倍的备份速度提升，显著减少网络传输数据量及设备摄入数据量。

支持哪些复制拓扑？

Recovery Appliance 支持大多数复制拓扑，可满足灾难恢复、高可用性和网络弹性要求。

请参阅文档中的 Recovery Appliance 复制或使用 Recovery Appliance 复制备份，以及通过零数据丢失气隙隔离备份增强 Oracle AI Database 网络防御与恢复能力，了解有关实施网络 Vault 策略的指南。

在复制配置中，是否可以在每个设备上为数据库关联不同的保护策略？

可以，每个 Recovery Appliance 均可独立定义和管理保护策略。每个受保护的数据库必须与存储其备份的所有 Recovery Appliance 上定义的保护策略关联，这些策略可采用相同或不同的配置。这种机制为数据库备份生命周期管理提供了灵活性与精细化控制，支持在不同位置按不同保存时长进行存储。用户可通过任意设备按需创建或计划创建备份副本至替代介质，并为副本设置自定义保留策略。

Recovery Appliance 的目录会定期自动同步，实现无缝恢复操作，无需指定备份当前存储位置。

复制是否由受保护数据库或策略配置？

复制在保护策略层级进行配置，该策略关联的所有受保护数据库备份均会复制到指定的下游设备。无论是出于灾难恢复/高可用性目的复制到其他设备，还是复制到网络 Vault，Recovery Appliance 都可以自动执行该过程，无需用户在策略或数据库层级定义计划。

备份复制的时间间隔是怎样的？

接收到的 RMAN 备份会在到达时立即自动复制，无需在上游设备完成完整导入。每个 Recovery Appliance 会独立验证并编录所有备份 — 目录通过定期后台进程自动同步。若启用实时 redo 传输，当数据库日志切换发生时，上游设备将创建归档日志备份并进行复制。

在采用气隙隔离网络连接的 Cyber Vault 配置中，Recovery Appliance 会在 Vault 在线时自动发送备份，并在访问关闭期间将备份加入队列。

在气隙隔离 Cyber Vault 配置中如何控制连接性？

Oracle Enterprise Manager 为整个 Oracle 部署提供统一的仪表盘，包括 Recovery Appliance 的管理、监视和警报功能。在 Cyber Vault 配置中，优秀实践建议采用独立的 Enterprise Manager 安装，以实现与生产环境的管理隔离。

您可以通过 Recovery Appliance 复制来协调打开和关闭 Vault 连接，以尽可能缩短其联机时间。您还可在复制网关添加基于时间的断路器机制，避免人为操作失误导致网关持续开放超出必要时长。

有关其他优秀实践，请参阅 Zero Data Loss Recovery Appliance 网络安全架构。

是否可以在 Recovery Appliance RA23 和 RA23-Z 之间复制备份？

可以，任何 Recovery Appliance（无论是 RA23、RA23-Z 还是上一代）都可以在任何受支持的复制拓扑结构中复制到另一个 Recovery Appliance。

有关复制的更多信息，请参阅文档。

设备集成了哪些替代存储方案用于长期保留？

Recovery Appliance 可轻松创建强大的多层备份策略，支持选择集成的备用介质，包括磁带、本地磁盘存储和/或云技术存储：

• 磁带：预装 Oracle 磁带备份软件，支持磁带设备通过光纤连接至设备，助您实现磁带备份策略，无需额外购买介质管理软件。您也可安装第三方备份软件模块 (SBT)，通过网络将备份副本传输至连接磁带驱动器的介质服务器。
• 本地磁盘存储：您可以使用为 Oracle Cloud Infrastructure (OCI) Object Storage 配置的 ZFS Storage Appliance 作为二级存储层。
• 云技术：使用基于云技术的备份 SBT 模块将备份副本归档至 OCI Object Storage。

如何管理保留策略？如何清除旧备份以腾出空间给归档备份副本？

Recovery Appliance 会根据用户在保护策略中设置的参数，自动管理设备上按需创建或通过计划任务创建的归档备份副本的保留策略。

是否可以定期生成 UNTIL 或 FOREVER 类型的备份副本以满足合规要求？

可以，许多企业都有合规要求，将月度或年度备份保留至超出标准保留策略的特定时限。借助 Recovery Appliance，您可按需创建或计划生成具有特定恢复点和保留期限（例如 7 年）的归档备份副本，将其发送到磁带或云平台进行长期存储。

有关详情，请参阅归档副本相关文档。