编 写 人:            Oracle ACS技术顾问 杜平

 

 

Oracle  安全备份简介

 

Oracle 的安全备份，是 oracle 公司提供可为整个 IT 环境提供集中磁带备份管理的软件。它利用 高度可扩展的客户端-服务器体系结构，管理遍布于数据中心和远程办公地点的异构服务器的数据保 护，以解决由数据库和文件系统数据组成的分布式环境的复杂性的数据备份：

Oracle 数据库与 Recovery Manager (RMAN) 集成，支持从 Oracle9i 到 Oracle11g 等数据库版本， 有令同类介质管理产品望尘莫及的优化性能（备份速度提高 25-40%，CPU 利用率降低 10%） 文件系统数据保护：UNIX / Windows / Linux 服务器和网络连接存储 (NAS)

企业 IT 环境可能需要将数百个服务器备份到大量的物理或虚拟磁带设备上，从而导致要在同城或 异地根据不同保留期限来保留数千个备份磁带。Oracle 安全备份通过一个通用管理界面解决了这些 复杂性，它可以跨越各种服务器并利用基于策略的管理，从而允许细粒度控制磁带介质和备份域。 其他同类产品都单独许可高级特性、服务器数量和规模以及数据库集成，但 Oracle 安全备份不会 这么做！Oracle 安全备份可提供全面的数据保护管理，将企业级特性和 Oracle 数据库集成在一个 低成本解决方案中。

 

1.1 为什么使用  Oracle 安全备份？

 

针对整个 IT 环境的企业数据保护 — 保护异构文件系统、NAS 设备以及与 Oracle 数据库的内置 集成。

策略驱动的介质生命周期管理  — 自动化磁带保留、复制和出库（在多个位置间轮转磁带）。

备份加密 — 无论磁带是位于现场、移离现场还是遗失，均可保护备份数据。 经济高效  — 与同类产品相比，许可费用和相关的后续维护成本降低了大约 75%。

 

1.2 Oracle 的安全备份架构

 

Oracle 的安全备份软件由三部分组成，管理员服务器、介质服务器和客户端，如下图：

 

管理员服务器：

它是 oracle 的安全备份的管理中心，它管理整个备份的环境。每一个管理员域必须由一个管理 员的服务器，需要首先安装并配置它，所有的配置信息存储在管理员服务器的配置文件中，由管理 员服务器自动维护。介质服务器和客户端要向管理员服务器注册。

管理员服务器执行中心调度计划，开始和监视客户端定义的备份作业，并记录备份作业的执行。

 

介质服务器： 介质服务器由一台主机和它连接的至少一个磁带设备组成，它是客户备份数据的真正存储中心。备 份服务器负责将客户端的备份数据转移到磁带库中去，交给管理员服务器去管理。 介质服务器可以和管理员服务器是同一台主机也可以是不同的主机，

介质服务器负责磁带库的管理和驱动，它所管理的带库信息是注册记录在管理员服务器中的， 包括每一个磁带介质的使用情况和他们在带库中的位置等信息。

 

客户端

Oracle 的安全备份客户端是一些主机，有文件数据和数据库数据的需要备份和恢复的主机。客户端 可以和管理员服务器及介质服务器安装在同一台主机上，也可以客户端和介质服务器安装在一台主 机上，也可以单独安装在一台主机上。 客户端的主要作用就是发送需要备份的数据到介质服务器。由介质服务器将数据转移到带库中，所 有与备份相关的信息全部记录在管理员服务器中。

 

 

Oracle 的安全备份域

 

Oracle 的安全备份域是 oracle 集中磁带备份管理软件对不同环境备份的一种管理方法： 单一主机的备份域 该环境中，只有一台主机，客户的应用和数据库都在该主机上。在这种模式下，Oracle 安全备份的 架构方式如下图：

图 2 由上图可以看出，在种最简单的客户环境中，管理员服务器。介质服务器和客户端都在同一台机器 上。该主机直接连接带库和存储设备。

数据库的备份数据直接通过数据库的备份恢复工具 RMAN，直接备份到带库，备份的相关信息，记 录在管理员服务器中；介质服务器负责驱动带库和管理带库的执行。

 

多台主机的备份域 该环境中，有多台主机，客户的应用和数据库都在不同的主机上，并且由多个应用服务器和多个数 据库，单只有一台带库。在该模式下，Oracle 安全备份的架构方式如下图：

 

 

在上图中我们可以看出，在一个多主机的客户环境中，管理服务器、介质服务器和客户端完全是独 立的。磁带库连接在介质管理服务器。

数据库的备份数据直接通过数据库的备份恢复工具 RMAN，备份数据到带库，该信息通过 SAN 的 存储网络传输，备份的控制信息通过 LAN 的网络传输，备份的相关信息，记录在管理员服务器中； 介质服务器负责驱动带库和管理带库的执行。通过图 3 我们可以看出，Oracle 数据库的备份完全不 需要单独安装客户端软件，通过数据库的备份工具就可以实现。

文件数据通过 OSB 的客户端，备份数据流走 SAN 的网络环境，控制信息通过 LAN 的网络传输。

 

 

 

2.  安装 Oracle 的安全备份

 

该安装过程是在 linux 上安装，其它 UNIX 的安装基本上和该安装过程基本相同。 要安装 Oracle 安全备份软件，执行以下步骤：

1)    以 root 用户身份执行以下命令，创建 OSB 主目录：

# mkdir  –p   /usr/local/oracle/backup

 

2)    浏览至您的 OSB 主目录：

# cd /usr/local /oracle/backup

注：以下步骤中，在该目录中执行，这对于完成正确设置很重要。

 

3)    确保提供了解压缩实用程序：

# ln -s /bin/gunzip /bin/uncompress

 

4)    在您的 OSB  主目录中，以 root  用户身份启动 Oracle 安全备份的安装。

# /stage/setup

Welcome to Oracle’s setup program for Oracle Secure Backup. This

program loads Oracle Secure Backup software from the CD-ROM to a filesystem directory of your choosing.

This CD-ROM contains Oracle Secure Backup version 10.2.0.2.0_linux32. Please wait a moment while I learn about this host… done.

– – – – – – – – – – – – – – – – – – – – – – – – – – –

1. linux32

administrative server, media server, client

– – – – – – – – – – – – – – – – – – – – – – – – – – –

Loading Oracle Secure Backup installation tools… done.

Using your previous obparameters file. The new file shipped with this distribution of Oracle Secure Backup is called install/obparameters.new.

Loading linux32 administrative server, media server, client… done.

– – – – – – – – – – – – – – – – – – – – – – – – – – –

Loading of Oracle Secure Backup software from CD-ROM is complete. You may unmount and remove the CD-ROM.

Would you like to continue Oracle Secure Backup installation with ‘installob’ now? (The Oracle Secure Backup Installation Guide contains complete information about installob.)

 

Please answer ‘yes’ or ‘no’ [yes]:

 

5)    输入 yes 继续您的安装：

Please answer ‘yes’ or ‘no’ [yes]: yes

– – – – – – – – – – – – – – – – – – – – – – – – – – –

Welcome to installob, Oracle Secure Backup’s UNIX installation program.

It installs Oracle Secure Backup onto one or more UNIX or Linux systems

on your network. (Install Oracle Secure Backup for Windows using the CD-ROM from which you loaded this software.)

For most questions, a default answer appears enclosed in square brackets.

Press Enter to select this answer.

Please wait a few seconds while I learn about this machine… done.

Have you already reviewed and customized install/obparameters for your Oracle Secure Backup installation [yes]?

 

6)    输入 no，因为您还没有自定义任何参数：

Have you already reviewed and customized install/obparameters for your Oracle Secure Backup installation [yes]? no

Would you like to do this now [yes]?

 

7)    再次输入 no，因为您执行的是默认安装。

Would you like to do this now [yes]? no

———————————————————————————————

Oracle Secure Backup is not yet installed on this machine.

Oracle Secure Backup’s Web server has been loaded, but is not yet configured. You can install this host one of three ways:

• administrative server

(the host will also be able to act as a media server or client)

• media server

(the host will also be able to act as a client)

• client

If you are not sure which way to install, please refer to the Oracle Secure Backup Installation Guide. (a,b or c) [a]?

 

8)    首先，您要安装管理服务器。输入 a 完成这一步：

If you are not sure which way to install, please refer to the Oracle Secure Backup Installation Guide. (a,b or c) [a]? a

Beginning the installation. This will take just a minute and will produce several lines of informational output.

Installing Oracle Secure Backup on edrsr4p1 (Linux version 2.6.9-55.0.0.0.2.ELsmp)

You must now enter a password for the Oracle Secure Backup encryption key store. Oracle suggests you choose a password of at least 8

characters in length, containing a mixture of alphabetic and numeric characters.

 

Please enter the key store password:

 

9)    选择适合于您的环境的口令并记住它们。输入您选择的口令两次，作为密钥存储口令并用于验 证：

Please enter the key store password: oracle

Re-type password for verification: oracle

 

You must now enter a password for the Oracle Secure Backup ‘admin’ user. Oracle suggests you choose a password of at least 8 characters in length, containing a mixture of alphabetic and numeric characters.

Please enter the admin password:

 

10)   输入您选择的口令两次，作为 admin 口令并用于验证：

Please enter the admin password: admin

Re-type password for verification: admin

 

You should now enter an email address for the Oracle Secure Backup ‘admin’user. Oracle Secure Backup uses this email address to send job summaryreports and to notify the user when a job requires input. If you leave this blank, you can set it later using the obtool’s ‘chuser’ command.

Please enter the admin email address:

 

11)   不输入任何内容，按 Enter 键，因为测试不使用电子邮件通知。安装继续：

generating links for admin installation with Web server updating /etc/ld.so.conf

checking Oracle Secure Backup’s configuration file (/etc/obconfig)

setting Oracle Secure Backup directory to /usr/local/oracle/backup in /etc/obconfig setting local database directory to /usr/etc/ob in /etc/obconfig

setting temp directory to /usr/tmp in /etc/obconfig

setting administrative directory to /usr/local/oracle/backup/admin in /etc/obconfig protecting the Oracle Secure Backup directory

creating /etc/rc.d/init.d/observiced activating observiced via chkconfig initializing the administrative domain

****************************** N O T E ****************************** On Linux systems Oracle recommends that you answer no to the next two questions. The preferred mode of operation on Linux systems is to use

the /dev/sg devices for attach points as described in the ‘ReadMe’ and in the ‘Installation and Configuration Guide’.

 

Is host01 connected to any tape libraries that you’d like to use with Oracle Secure Backup [no]?

 

12)   在下面的一个步骤中，您将连接磁带库和磁带驱动器，因此请输入 no 两次：

Is host01 connected to any tape libraries that you’d like to use with

 

Oracle Secure Backup [no]? no

Is host01 connected to any tape drives that you’d like to use with Oracle Secure Backup [no]? no

Installation summary:

Installation Host         OS              Driver          OS Move         Reboot Mode        Name                     Name                  Installed?           Required?    Required? admin                   host01     Linux      no                   no                no

Oracle Secure Backup is now ready for your use.

#

13)   以 root 用户身份注销：

# exit

 

3．配置 Oracle 的安全备份

 

3.1 基础配置

该的配置过程，完成了一次性配置任务，并确认磁带库和磁带驱动器等基本元素正常工作。 要配置  Oracle 安全备份并确认您的配置，执行以下步骤：

1)    以 oracle OS  用户身份执行以下命令，浏览至您的工作目录 (/home/oracle)：

$ cd /home/oracle

 

2)    要确认您拥有必需的 OBE 配置文件，输入：

$ ls c*

 

config1_in.sh config1_out.sh config1.sh config2.txt

3)    要替换 config1_out.sh 文件中的主机名称，输入：

$ ./config1.sh 将显示您的主机名。

host01.example.com

4)    要将媒体服务器角色分配给您的主机并配置，执行 config1_out.sh  文件，并为各设备提供口令：

$ ./config1_out.sh Password: admin Password: admin Password: admin Password: admin Password: admin Password: admin Password: admin Password: admin Password: admin

注释 a：本测试使用生成的虚拟设备，这些设备使用磁盘空间（在 u01 目录下），但模拟磁带设备。在生产环境

中，这些 OSB 测试设备不受支持，尽管 Oracle 安全备份支持众多非 Oracle 虚拟磁带设备。

 

注释  b：如果您在执行该文件的过程中出现错误或输错了口令，建议以 root 用户身份登录，首先输入以下命令

删除磁盘目录：

$ su – root

Password: root_password

# cd /u01

# rm -rf vli*

# rm -rf vd*

#

注释 b（续）：再次按照在 Linux  或 UNIX  上安装 Oracle  安全备份 指南的“在 Linux 或 UNIX 上卸载 Oracle 安全备份”部分中的步骤卸载 Oracle 安全备份。

 

5)  要登录 obtool，输入：

$ obtool

Oracle Secure Backup 10.2.0.2.0 login: admin

Password: admin

ob>

 

6)    要查看您的主机的所有角色，输入：

ob> lshost

host01.example.com admin,mediaserver,client (via OB) in service ob>

 

7)    要查看刚刚创建的设备，输入：

ob> lsdev

library                     vlib                       in service

drive 1	vdte1	in service
drive 2	vdte2	in service
drive 3	vdte3	in service
drive 4	vdte4	in service
library	vlib2	in service
drive 1	vdrive1	in service
drive 2	vdrive2	in service

ob>

 

8)    要将卷插入磁带库中，执行以下命令（如果您不想输入命令，执行  <  /usr/local   /oracle/backup

/config2.txt 脚本）。

ob> insertvol  -L  vlib  -c  250  unlabeled  1-32 ob> insertvol  -L  vlib2  -c  250  unlabeled  1-14 或：

ob>  <    /home/oracle/config2.txt

ob> # Only for test and training, not for production ob> # OSB script, run as admin user

ob>

 

ob> insertvol -L vlib -c 250 unlabeled 1-32

ob> insertvol -L vlib2 -c 250 unlabeled 1-14ob>

 

9)    要列出默认的媒体系列，输入：

ob> lsmf –long

OSB-CATALOG-MF:

Write window:            7 days Keep volume set: 14 days Appendable:     yes

Volume ID used:         unique to this media family Comment:         OSB catalog backup media family

RMAN-DEFAULT:

Keep volume set:       content manages reuse Appendable:                                 yes

Volume ID used:          unique to this media family

Comment:                     Default RMAN backup media family

ob>

注释：在本 OBE 后面的一项任务中，您将创建其他媒体系列。

 

10) 要重命名主机和添加新 IP 地址，输入： renhost –nq host01.example.com host01 chhost –addip host01.example.com host01

 

11)   要终止您的 obtool 会话，输入：

logout

注释：logout 命令终止 obtool 会话并销毁登录令牌，因此在您下一次启动 obtool 会话时将提示您提供证书， 可能会出现以下消息“Warning:auto-login failed – login token has expired”。

如果您使用 exit 或 quit 命令终止 obtool 会话，则会按 Webtool > Configure > Defaults and Policies > Security> Login 令牌持续时间保留登录令牌：15 分钟（默认值）。

 

 

3.2 向企业管理器（EM）注册管理服务器

 

向企业管理器 (EM) 注册 Oracle 安全备份管理服务器，这是在这两个工具间实现顺畅操作所 必需的。 要注册您的管理服务器，执行以下步骤：

1)    要访问企业管理器数据库控制台，您需要知道相应的 URL  和运行的工具。要以 oracle OS  用 户身份进行验证，在终端窗口中输入：

$ emctl  status dbconsole

Oracle Enterprise Manager 11g Database Control Release 11.1.0.6.0 Copyright (c) 1996, 2007 Oracle Corporation. All rights reserved. https://host01.example.com:1158/em/console/aboutApplication

Oracle Enterprise Manager 11g is running.

——————————————————————

Logs                      are                     generated                     in                     directory

 

/u01/app/oracle/product/11.1.0/db_1/host01.example.com_orcl/sysman/log

注释：文本使用粗体并标有颜色是为了便于识别

 

2)    打开您的 Web  浏览器，按以下格式输入您的 URL： https://<主机>:<端口>/em https://host01:1158/em

 

• 在 Enterprise Manager Login 页面上，输入 SYS 作为 User Name，输入您的 SYS_password 并 选择 Connect As SYSDBA。然后单击 Login

 

 

• 在 Oracle 数据库 Home  页面上，单击 Availability  选项卡。

 

• 在 Availability 页面上，单击 Oracle Secure Backup Device and Media。

 

首次执行这一任务时，将打开管理服务器的“Add Administrative Server”页面。输入以下值，然 后单击 OK：

Oracle Secure Backup Home：/usr/local/oracle/backup Username：admin
Password：admin

 

 

输入 oracle 作为 Username，输入您的 host_password(这里测试用 oracle)，选择“Save as Preferred Credential”，然后单击 OK 按钮。

 

 

• Oracle Secure Backup Device and Media:Administrative Server 页面将显示，其中包括您刚注册的 管理服务器。

 

 

 

定义新的 OSB 用户并对其进行预授权

这里将 oracle OS 用户定义为新的 Oracle 安全备份管理员，并预先对其进行授权，由其执行 RMAN 备份和恢复作业。“预授权”意味着这一用户登录企业管理器并启动备份到磁带的作业后，不 需要提供 OSB 证书。
要定义新的 OSB 用户并对其进行预授权，执行以下步骤：

1) 在企业管理器的 Availability 页面上，右键单击 Oracle Secure Backup 部分中的 File System Backup and Restore，并选择 Open Link in a New Tab。

2) 在 Oracle Secure Backup Login 页面上，输入 admin 作为 User Name，并输入 admin 的管理员 密码 admin，然后单击 Login。
3) 在 OSB Home 页面上，单击 Configure 选项卡。

4) 在 Configure 页面上，单击 Basic 部分中的 Users。
5) 在 Configure:Users 页面中，单击 Add 按钮。

6) 在 Configure:Users > New Users 页面上，输入或选择以下值，然后单击 Apply：
User：oracle Password：oracle User class：oracle UNIX name：oracle UNIX group：dba
NDMP server user：no
7) 在 Configure:Users > oracle 页面上，单击 Preauthorized Access

8) 在 Configure:Users > oracle > Preauthorized Access 页面上，输入或选择以下值，然后单击 Add：
Hosts：all hosts
OS username：* Windows domain name：* Attributes： rman

您应当会收到类似以下所示的成功消息:
9) 单击 Logout。
6．检查用于备份的数据库

这一部分是检查数据库是否为归档模式，若不是归档模式，修改数据库到归档模式。这里不在 描述。
7．创建一个新的媒体系列

这里查看默认的媒体系列，并使用 OSB Web 工具创建新的媒体系列。 要查看和创建媒体系列， 执行以下步骤：

1) 要直接（而不是从 EM）启动 OSB Web 工具，打开您的 web 浏览器，按以下格式输入您的
URL：https://<主机>/index.php
Oracle 安全备份 Web 界面显示 Oracle Secure Backup Login 页面，这里使用：
2) 在 Oracle Secure Backup Login 页面上，输入 admin 作为 User Name，并输入管理员密码 admin
然后单击 Login。
3) 在 OSB Home 页面上，单击右上角的 Preferences。
4) 针对 Extended command output 选择 On 设置，然后单击 Apply。当您单击 Apply 时，页面 不会改变。您可以在后面的第 7 步看到此更改的结果。
5) 要查看和编辑现有的媒体系列以及创建新的媒体系列，单击 Configure 选项卡
6) 单击 Media Families
7) 在 Configure:Media Families 页面上，首先查看现有的默认媒体系列，然后单击 Add 按钮创建 新的媒体系列

8) 在 Configure:Media Families > New Media Families 页面上，输入和确认以下值，然后单击 Apply：
Media Family：OFFSITE_7Y
Volume ID used：Unique to this media family
Volume expiration：Time Managed Keep volume set：7 years Appendable：yes
Comment：Store for 7 years offsite – for compliance with XYZ law
9) 您将收到一条成功消息
10) 滚动至 Configure:Media Families > OFFSITE_7Y 页面的底部，查看 Extended Command Output。 然后单击 OK 按钮

11) Configure:Media Families 页面将显示，其中包括您新创建的 OFFSITE_7Y 媒体系列
12) 在 Configure:Media Families 页面上，单击 Add 按钮创建其他媒体系列
13) 在 Configure:Media Families > New Media Families 页面上，输入和确认以下值，然后单击 Apply
Media Family：offsite_test
Volume ID used：Unique to this media family
Volume expiration：Time Managed Keep volume set：10 minutes Appendable：yes
Comment：Edit test values later.
14) 您将收到一条成功消息。单击 OK

15) 在 Configure:Media Families 页面上，查看所有可用的媒体系列，默认的媒体系列和您新创建的 媒体系列
8．创建一个数据库存储选择器

作为最后一项配置任务，您要测试磁带备份，并在企业管理器中创建一个数据库存储选择器。 要创建存储选择器并测试磁带备份，执行以下步骤：

1) 在您的 Web 浏览器中，在 Enterprise Manager Login 页面上，输入 SYS 作为 User Name，输 入您的 SYS_password，并选择 Connect As SYSDBA。然后单击 Login。
2) 在企业管理器中，浏览至 Availabity > Backup Settings（在 Backup/Recovery Setup 部分中）。
3) 要提供和保存磁带设置，输入以下值，然后单击 OK
Tape Drives：1 Username：oracle Password：host_password
Save as Preferred Credential

4) 要创建数据库存储选择器，重新进入 Backup Settings 页面，然后单击 Backup Settings Device 页 面上 Oracle Secure Backup 部分中的 Configure

5) 在 Administrative Server Login 页面上，输入或确认以下值，然后单击 OK
Administrative Server：Your_host Username：oracle Password：oracle
Save as Preferred Credential（选中）
6) 在 Backup Storage Selectors 页面上，单击 Add

7) 在 Add Backup Storage Selector 页面上，选择以下值，然后单击 OK， Database Backup Types：Archive Logs、Auto Backup、Full 和 Incremental Media Family：RMAN-DEFAULT
8) 当在 Backup Storage Selectors 页面上收到一条成功消息。单击 Return
9) 在 Backup Settings Device 页面上，输入或确认以下值，然后单击 Test Tape Backup

Tape Drives：1
Tape Backup Type：Backup Set Username：oracle Password：oracle
10) 根据您的系统资源的情况，Processing: Test Tape Backup 页面将显示一段时间
11) 在 Backup Settings Device 页面上，查看成功消息，然后注销