Cross-Region Warm Standby para PostgreSQL na OCI: o que isso significa para a continuidade de negócios no Brasil?

TL;DR: A Oracle lançou o Cross-Region Warm Standby para OCI Database com PostgreSQL, recurso que permite manter até duas réplicas de leitura em regiões secundárias, sincronizadas continuamente com o primário. O artigo explica o fluxo de criação, switchover e failover, destacando como isso reduz o downtime em cenários de desastre e oferece RPO controlado de 5 minutos. Para empresas brasileiras, a funcionalidade atende exigências de continuidade e LGPD sem complexidade operacional adicional.

À medida que a demanda por experiências digitais sempre ativas cresce, o planejamento de disaster recovery (DR) se torna requisito central para qualquer implantação empresarial. Para empresas brasileiras que operam sob a LGPD e precisam garantir disponibilidade mesmo em cenários de falhas regionais, a novidade da Oracle chega em boa hora.

A Oracle anunciou o Cross-Region Warm Standby para OCI Database with PostgreSQL. Esse novo recurso permite manter até duas warm standbys em regiões OCI secundárias. As réplicas permanecem sincronizadas com o primário e podem ser promovidas manualmente quando for necessário recuperar o serviço em outra região ou executar uma transição planejada. O sistema primário roda na região de origem e atende tráfego de leitura/escrita, enquanto as warm standbys operam como réplicas read-only, recebendo e aplicando continuamente as mudanças do primário. O status da replicação pode ser monitorado via métricas OCI em ambos os sistemas.

O ponto forte para o mercado brasileiro é a simplicidade operacional. Tudo é feito pelo console OCI, sem necessidade de scripts complexos ou ferramentas externas. Vamos detalhar o fluxo:

1. Escolha ou crie o sistema primário na região de origem. Se você já tem um banco de produção, pode usá-lo como primário.

2. Crie a warm standby na região secundária. No console, selecione "Create Replica Database System", escolha a região e o primário de origem, e defina o nome, compartment e rede. É possível ativar o RPO enforcement (limite de 5 minutos).

3. Para manutenção planejada ou testes de DR, utilize o Switchover, que inverte os papéis entre primário e standby de forma controlada.

4. Em caso de indisponibilidade regional, faça a promoção manual da warm standby. Durante a promoção, você pode optar por aplicar todos os WAL pendentes (menor perda de dados) ou promover imediatamente (maior rapidez).

5. Após a região primária ser restaurada, o antigo primário pode ser reconfigurado como réplica do novo sistema. Um switchover adicional permite retornar à topologia original.

Para empresas brasileiras, o Cross-Region Warm Standby resolve um problema clássico: ter uma segunda região com dados atualizados sem precisar gerenciar soluções de replicação complexas. A latência entre regiões brasileiras (ex.: São Paulo e Vinhedo) ou entre Brasil e Miami pode ser gerenciada com o RPO de 5 minutos, que para muitos cenários de e-commerce, fintechs e plataformas SaaS é perfeitamente aceitável.

Outro ponto relevante é a possibilidade de usar as warm standbys como réplicas de leitura em regiões secundárias, melhorando a latência para usuários próximos. Embora o foco principal seja DR, isso pode trazer benefícios de performance indiretos.

Pontos de atenção:

• O failover é manual — não há auto-failover neste momento. Portanto, é essencial ter processos de runbook e monitoramento para disparar a promoção.
• O RPO enforcement de 5 minutos pode ser desabilitado, mas é recomendado mantê-lo para garantir consistência.
• A topologia suporta até duas standbys, o que é suficiente para a maioria dos cenários de DR, mas não substitui soluções de replicação síncrona para RPO zero.

Perguntas Frequentes

• Quantas warm standbys posso criar por primário?
  O recurso permite criar até duas warm standbys em regiões secundárias diferentes. Isso oferece flexibilidade para arquiteturas multi-região sem necessidade de soluções externas.

• Qual o RPO garantido com o recurso?
  O RPO enforcement pode ser habilitado com um limite fixo de 5 minutos. Se a latência de replicação exceder esse limite, o primário automaticamente entra em modo read-only para que a standby alcance consistência.

• Como funciona o failover em caso de falha regional?
  Em caso de indisponibilidade do primário, é possível promover manualmente a warm standby. Durante a promoção, o operador pode optar por aplicar todos os WAL pendentes (minimiza perda de dados) ou promover imediatamente (prioriza tempo de recuperação).

• É possível reverter para a topologia original após uma falha?
  Sim. Após a restauração da região primária, o antigo primário pode ser reconfigurado como réplica do novo primário. Um switchover adicional permite retornar à configuração original de 'primário na região A, standby na região B'.

• Esse recurso está disponível em todas as regiões da OCI?
  O recurso está disponível globalmente, incluindo as regiões brasileiras (São Paulo e Vinhedo). É necessário que ambas as regiões (primária e secundária) sejam regiões OCI compatíveis.

---

Artigo originalmente publicado por Devneel Vaidya e Karan Singh em cloud-infrastructure.