关于数据恢复:服务器数据恢复OneFS文件系统下虚拟机数据恢复案例

41次阅读

共计 1720 个字符,预计需要花费 5 分钟才能阅读完成。

EMC Isilon 存储构造:
Isilon 群集存储系统应用的是分布式文件系统 OneFS。Isilon 群集存储系统的每个节点均为繁多 OneFS 文件系统,Isilon 在进行横向扩大时不会影响数据的失常应用。Isilon 群集存储系统所有节点在工作时都提供雷同的性能,节点没有主备之分。Isilon 群集存储系统在存储文件时,OneFS 层会将文件分成 128K 的片段别离寄存到不同的节点中,节点层又会将 128K 的片段分成 8K 的小片段别离寄存到该节点的不同硬盘中,用户文件的 Indoe 信息、目录项及数据 MAP 则会别离寄存在所有节点中。Isilon 群集存储系统的这个个性能够让用户从任何一个节点拜访到所有数据。Isilon 群集存储系统在初始化时会让用户抉择相应的存储冗余模式,不同的冗余模式所提供的数据安全级别也不一样(默认 3 个节点采纳 N +2:1 模式)。

服务器数据恢复环境:
EMC Isilon S 系列群集存储系统,3 个节点,每个节点配置 12 块 STAT 硬盘。该存储系统寄存的数据是 vmware 虚拟机(WEB 服务器)和视频文件。vmware 虚拟机通过 NFS 协定共享到 ESX 主机,视频文件通过 CIFS 协定共享给 vmware 虚拟机(WEB 服务器)。

服务器故障:
管理员因为误操作将该存储系统中 NFS 协定共享的 vmware 虚拟机、MSSQL 数据库以及大量的 MP4、ASF 和 TS 类型的视频文件删除。

服务器数据恢复过程:
1、通过 Isilon 的 web 治理界面的集群敞开性能将存储设备失常关机,将存储系统中所有硬盘编号取出。由硬件工程师对所有磁盘进行硬件故障检测,通过检测所有磁盘均可失常读取,无物理故障。以只读形式将所有磁盘做全盘镜像,后续数据分析和数据恢复操作都基于镜像文件进行,防止对原始磁盘数据造成二次毁坏。镜像实现后将所有磁盘依照编号还原到存储设备中。

2、基于镜像文件剖析所有硬盘中的数据。因为数据是被人为手动删除的,不必思考存储的冗余级别。须要剖析的是文件被删除后文件 Indoe 及数据 MAP 是否发生变化。
3、通过沟通和剖析,发现被删除的虚构磁盘文件都在 64G 或以上,并且存储中没有其余类型的大文件。北亚企安数据恢复工程师编写文件 Indoe 扫描程序,将文件大小 64G 或以上的 Indoe 都扫描进去。
4、对扫描进去的 Indoe 进行剖析,发现 Indoe 中记录的数据 MAP 地位,其 index 指向的内容已不再是失常的数据。所有节点上的 Indoe 均是同样的状况。
5、持续剖析 Inode,发现大文件的数据 MAP 有多层(树结构),数据 MAP 中会记录文件的惟一 ID,能够尝试找到文件最底层的数据 MAP。对文件最底层的数据 MAP 做遍历跟踪操作,所幸找到最低层的数据 MAP。
6、从文件 Inode 中取出文件的惟一 ID,聚合所有合乎该 ID 的数据 MAP。依据数据 MAP 中的 VCN 号做排序,发现每个文件的前一万多项数据 MAP 都不存在,意味着每个文件的前一万多项数据没法复原。
7、失落的数据 MAP 项大小不到 1G,被删除的文件全是虚拟机的 vmdk 文件,外面都是 NTFS 文件系统,而 NTFS 文件系统的 MFT 根本都在 3G 的地位。只须要在每个 vmdk 文件的头部手动伪造一个 MBR 和 DBR 就能够解释 vmdk 外面的数据。
8、对扫描到的数据 MAP 做解释,并依据 VCN 号的程序导出数据,没有 MAP 的状况保留为零。先导出一个 vmdk 文件做测试,后果导出的 vmdk 文件比理论状况要小,并且 vmdk 中 MFT 的地位也与本身形容不符。随机验证了几个 MPA 发现都能指向数据区,程序解释 MAP 的形式也都没有问题。所以猜想可能为文件稠密。
9、将代码进行调整后从新导出方才的 vmdk,这次导出的 vmdk 大小符合实际大小,且 MFT 的地位也与形容相符。手工伪造一个 MBR、分区表和 DBR,应用北亚企安自主开发的文件系统解释工具解释其文件系统,而后导出 vmdk 外面的数据库及视频文件。
10、对 vmdk 中的数据库及视频文件进行验证没有发现问题后,批量导出所有 vmdk 文件,再手工一一去批改每个 vmdk 文件。

11、将所有数据恢复进去之后,交由用户方工程师对数据做完整性及准确性检测,通过重复检测,确认复原进去的数据残缺无效。本次数据恢复工作实现。

正文完
 0