В доке "Oracle Advanced Security Transparent Data Encryption Best Practices" от марта 2012 в главе "Oracle Data Guard. Physical Standby." сказано:
авторThe encrypted application data stays encrypted while redo log files are transferred from the primary to the secondary databases. However, the master key from the primary database needs to be present on the secondary site only when the secondary site is in READ ONLY mode or after a failover, but not for applying the redo logs. It is recommended to copy the primary wallet over to the secondary sites, so that in a case of a failover, all data is quickly available.
Я специально выделил фразы "только в том случае", "но не для", "рекомендуется".

Таким образом в трех местах говорится о том, что для того, чтобы Physical Standby принимал и обрабатывал шифрованные архивные логи не требуется наличие на нем wallet`а и тем более его открытие.

Как же установить такой standby к сожалению нигде не сказано.
Поделитесь опытом плиз.

Сама технология передачи изменений с праймари на физический стендбай у меня вопросов не вызывает.
Зачем мне нужен стендбай я тоже четко понимаю: нужна полная копия праймари, которая сможет оперативно (в течение нескольких минут) стать ее заменой экстренном случае, например, в случае выхода из строя оборудования праймари базы.

Вопрос в том: нужен ли валлет для первичной установки стендбай ?

Ситуация: есть работающий праймари 11.2.0.2 использующий TDE для шифрования табличных пространств. На сервере нет валета (он у безопасника). Может ли в таком случае администратор СУБД установить стендбай без привлечения безопасника или на момент установки стендбай потребуется валлет, который потом может быть удален со стендбай сервера ?

NisSamКак вы собираетесь за несколько минут найти безопасника, скопировать и установить валет?
Представляешь, это реально !

Спасибо за нравоучения, а можно что-нибудь по сути вопроса ?

dimacrat,

Спасибо за информацию.
Похоже, при создании standby с помощью RMAN без валлета не обойтись.
Предположим, что мы показали валет при создании standby, значит ли это, что теперь при перезагрузке standby валет запрашиваться не будет (если standby работает в режиме принятия архивных логов и не открыт на чтение) ?

проходил мимо...Господа, давайте уж определимся про какой TDE речь.
В ссылке в первом посте речь идёт про TDE Column Encryption и тут действительно не нужен открытый валет. В примере же из последнего поста - явно проблема с TDE Tablespace Encryption, а это уже большая разница, в этом случае может потребоваться (у меня - всегда, возможно, в связи с наличием undo-логов) доступ к открытому валету.

В первом посте я ссылаюсь на подраздел "Physical Standby" раздела "Oracle Data Guard".
Из оглавления доки видно (а по сути очевидно), что раздел "Oracle Data Guard" является независимым разделом и речь в нем идет в общем о технологии TDE, а не только в контексте Column Encryption.

проходил мимо...Чтобы закрыть тему и да простят меня модераторы.
Note 1197943.1#1. If using tablespace encryption, the wallet must be opened in case of:
+ instance recovery (in case the recovery affects the encrypted tablespaces)
+ media recovery
+ data guard (standby) database.

#2. If using column encryption, then the wallet does not have to be opened in any of the same scenarios.
Я правильно понял, что это какая-то секретная инструкция ?
Она точно от 11.2.0.2 ? Может устарела ?

Не могу на уши натянуть зачем для physical standby открывать валлет, если он меняет блоки данных целыми блоками без фактического доступа к расшифрованным данным...

Если у кого-то есть аргументированное мнение отличное от мнения уважаемого "проходил мимо..." , просьба озвучить.