服務器數(shù)據(jù)恢復—EMC Isilon存儲中虛擬機數(shù)據(jù)恢復案例
服務器存儲數(shù)據(jù)恢復環(huán)境:
EMC Isilon S200集群存儲,共三個節(jié)點,每節(jié)點配置12塊SATA硬盤。
服務器存儲故障:
工作人員誤操作刪除虛擬機,虛擬機中數(shù)據(jù)包括數(shù)據(jù)庫、MP4、AS、TS類型的視頻文件等。需要恢復數(shù)據(jù)的虛擬機通過NFS協(xié)議共享到ESX主機,視頻文件通過CIFS協(xié)議共享給虛擬機(WEB服務器)。
通過NFS協(xié)議共享的所有數(shù)據(jù)(虛擬機)被刪除,而通過CIFS協(xié)議共享的數(shù)據(jù)沒有被刪除。
北亞企安數(shù)據(jù)恢復——虛擬機數(shù)據(jù)恢復
服務器存儲數(shù)據(jù)恢復過程:
1、將所有節(jié)點中硬盤編號后取出,硬件工程師檢測后沒有發(fā)現(xiàn)有硬盤存在硬件故障和明顯壞道。將所有磁盤以只讀方式進行扇區(qū)級全盤鏡像,鏡像完成后將所有磁盤按照編號還原到原節(jié)點中,后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于鏡像文件進行,避免對原始磁盤數(shù)據(jù)造成二次破壞。
北亞企安數(shù)據(jù)恢復——虛擬機數(shù)據(jù)恢復
2、所有數(shù)據(jù)備份完成后,在Isilon的web管理界面中將Isilon正常關機。
北亞企安數(shù)據(jù)恢復——虛擬機數(shù)據(jù)恢復
基于鏡像文件對底層數(shù)據(jù)進行分析。由于是誤刪除數(shù)據(jù),所以需要分析數(shù)據(jù)刪除后Indoe及數(shù)據(jù)MAP是否發(fā)生變化。由于被刪除的虛擬磁盤文件大小都在64G或以上,而且存儲中無其他大文件。北亞企安數(shù)據(jù)恢復工程師編寫程序掃描所有文件Indoe,將大小不小于64G的文件indoe全部掃描出來。通過掃描Indoe找出數(shù)據(jù)MAP位置,發(fā)現(xiàn)其index指向的內(nèi)容已不再是正常數(shù)據(jù),并且所有節(jié)點上的Indoe均是同樣的情況。
3、分析Inode,發(fā)現(xiàn)大文件的數(shù)據(jù)MAP會有多層(樹結構),并且數(shù)據(jù)MAP中會記錄文件的唯一ID,因此可以嘗試找到文件最底層的數(shù)據(jù)MAP。北亞企安數(shù)據(jù)恢復工程師嘗試對文件底層數(shù)據(jù)MAP做遍歷跟蹤操作,發(fā)現(xiàn)底層的數(shù)據(jù)MAP還在。
北亞企安數(shù)據(jù)恢復——虛擬機數(shù)據(jù)恢復
4、通過文件的Inode提取唯一ID,然后將所有符合該ID的數(shù)據(jù)MAP做聚合。根據(jù)數(shù)據(jù)MAP中的VCN號排序,北亞企安數(shù)據(jù)恢復工程師分析發(fā)現(xiàn)每個文件的前17088項數(shù)據(jù)MAP都不存在,理論上這些數(shù)據(jù)是無法恢復了。
5、通過數(shù)據(jù)換算得知丟失的數(shù)據(jù)MAP項的大小不到1GB,刪除的文件是虛擬機的vmdk文件,里面都是NTFS文件系統(tǒng),而NTFS文件系統(tǒng)的MFT一般都在3GB的位置,只需要在每個vmdk文件的頭部偽造一個MBR和DBR就可以解釋vmdk里面的數(shù)據(jù)。解釋掃描到的數(shù)據(jù)MAP并根據(jù)VCN號的順序導出數(shù)據(jù),沒有MAP的情況保留為零。
6、將其中一個vmdk文件導出,但導出的文件比實際情況要小,vmdk中MFT的位置也與自身描述不符。隨機驗證了幾個MPA發(fā)現(xiàn)都能指向數(shù)據(jù)區(qū),程序解釋MAP的方式也都沒有問題,出現(xiàn)這種情況的原因可能為文件稀疏!
7、重新調(diào)整部分代碼再次導出vmdk,這次導出的數(shù)據(jù)正常且MFT的位置也在相應位置。手工偽造一個MBR,分區(qū)表以及DBR,再用北亞企安自主開發(fā)的文件系統(tǒng)解釋工具解釋文件系統(tǒng),導出vmdk里面的數(shù)據(jù)庫及視頻文件。
北亞企安數(shù)據(jù)恢復——虛擬機數(shù)據(jù)恢復
8、經(jīng)過驗證,此vmdk中的數(shù)據(jù)庫及視頻文件沒有發(fā)現(xiàn)問題,批量導出所有vmdk文件,再手動修改每個vmdk文件。
9、將所有數(shù)據(jù)恢復完成后,用戶方工程師對所有恢復出來的數(shù)據(jù)做完整性及準確性檢測,經(jīng)過檢測沒有發(fā)現(xiàn)問題,本次數(shù)據(jù)恢復工作完成。
審核編輯 黃宇
-
服務器
+關注
關注
14文章
10251瀏覽量
91480 -
數(shù)據(jù)恢復
+關注
關注
10文章
712瀏覽量
18983 -
emc
+關注
關注
176文章
4389瀏覽量
191554 -
虛擬機
+關注
關注
1文章
972瀏覽量
30466
發(fā)布評論請先 登錄
虛擬機數(shù)據(jù)恢復—虛擬機vmdk文件被刪除的數(shù)據(jù)恢復案例
【服務器數(shù)據(jù)恢復】服務器“泡水”硬盤掉線,數(shù)據(jù)竟這樣恢復
服務器數(shù)據(jù)恢復—EqualLogic存儲硬盤離線導致上層虛擬機不可用的數(shù)據(jù)恢復案例
服務器數(shù)據(jù)恢復—一文讀懂服務器高頻故障排查+標準數(shù)據(jù)恢復流程
虛擬化數(shù)據(jù)恢復—Hyper-V服務癱瘓危機:虛擬機數(shù)據(jù)文件丟失后的數(shù)據(jù)恢復案例
虛擬機數(shù)據(jù)恢復—異常斷電致ESXI存儲失聯(lián)?這份實戰(zhàn)數(shù)據(jù)恢復案例請收好
服務器數(shù)據(jù)恢復—EqualLogic存儲上raid5磁盤陣列數(shù)據(jù)恢復案例
服務器數(shù)據(jù)恢復—RAIDZ多塊硬盤離線導致服務器崩潰的數(shù)據(jù)恢復案例
服務器數(shù)據(jù)恢復—服務器斷電導致raid模塊損壞的數(shù)據(jù)恢復案例
vsan數(shù)據(jù)恢復—vsan分布式服務器節(jié)點上raid數(shù)據(jù)恢復案例
服務器數(shù)據(jù)恢復—raid5陣列多塊硬盤離線導致EMC存儲不可用的數(shù)據(jù)恢復案例
服務器數(shù)據(jù)恢復—Linux系統(tǒng)服務器崩潰的數(shù)據(jù)恢復案例
分布式存儲數(shù)據(jù)恢復—虛擬機上hbase和hive數(shù)據(jù)庫數(shù)據(jù)恢復案例
服務器數(shù)據(jù)恢復—raid5陣列中硬盤壞道導致陣列崩潰的數(shù)據(jù)恢復案例
虛擬化數(shù)據(jù)恢復—VMware虛擬化環(huán)境下重裝系統(tǒng)導致服務器數(shù)據(jù)丟失的數(shù)據(jù)恢復
工商網(wǎng)監(jiān)
評論