共计 1108 个字符,预计需要花费 3 分钟才能阅读完成。
虚拟机数据恢复环境:
故障虚拟机是由物理机迁徙到 EXSI 下面的,迁徙实现后做了一个快照;
故障虚拟机运行 SQL 的数据库,记录了 6 年的数据;
EXSI 上共有二十几台虚拟机;EXSI 连贯的存储是一台 HP EVA 存储,所有的虚拟机(包含故障虚拟机)都放在 EVA 上。
虚拟机故障形容 & 剖析:
因为工作人员的误操作将快照还原了。快照是 3 年前虚拟机做完迁徙时做的,也就是说虚拟机还原到 3 年前的状态,最近 3 年的数据都被删除了。管理员分割咱们数据恢复核心进行数据恢复。
还原快照相当于删除数据,意味着底层的存储空间会开释一部分。为了不让这部分开释的空间被重用笼罩,就必须将连贯到这台 EVA 存储的所有虚拟机都关掉。不能长时间的宕机的重要虚拟机须要迁徙到别的 EXSI 上。用户这里就有一台虚拟机不能关机,只能做热迁徙。因为 vmware 的热迁徙是须要建设 N 多个快照来实现迁徙的,这会给前面的复原快照工作带来很多麻烦。迁徙完所有虚拟机后须要对底层的 EVA 存储做镜像,然而镜像整个存储须要的工夫太长,用户比拟焦急。最初只能将 EVA 存储以只读的形式挂载到一台服务器上,以只读的形式复原数据。
虚拟机数据恢复过程:
Vmware 的文件系统是 Vmfs,所有的虚拟机都寄存在这个文件系统中。Vmfs 文件系统默认会将整个磁盘分成 1M 大小的 Block,调配给文件的最小单位为一个 Block。Vmfs 文件系统中有一片区域描述这些 1M Block 的应用状况,而每 1024 个 Block(也就是 1GB)会用一个 MAP 来记录。这个 MAP 外面记录的 1M Block 在物理磁盘上不肯定是间断的。但这个 MAP 所记录的所有 1M Block 肯定是同一个文件的。能够了解为一个文件是由 N 多个 MAP 中的 1024 个 Block 组成的,即 FileSize = N MAP 1024(Block)。
Vmware 的快照就是一个文件,还原快照也就是删掉一个文件。在 Vmfs 文件系统中,删除一个文件只会删掉文件的索引项,而不会删掉文件的理论数据以及指向数据的 MAP。
1、北亚数据恢复工程师提取整个 vmfs 文件系统中闲暇的 MAP,在闲暇的 MAP 中找到一个合乎快照文件头构造的 MAP。
2、依据快照文件的构造,提取快照文件剩下的碎片。
3、提取完快照文件后,将快照文件和原 vmdk 合并生成新的 vmdk,新的 vmdk 中蕴含了所有的数据。
4、挂载新的 vmdk 并解释外面的数据。由用户亲自对复原进去的数据进行验证。
虚拟机数据恢复后果:
因为用户做过虚拟机的热迁徙的操作,导致快照中的几个碎片被重用。最终复原的数据中,最新的数据不可用。但因为须要复原的数据是数据库,每天都备份 2 次。尽管最新的数据不可用,但备份的数据可用。整个复原工作耗时 2 天。