共计 889 个字符,预计需要花费 3 分钟才能阅读完成。
虚拟机数据恢复环境:
ESXI 上共有数十台虚拟机,EXSI 连贯一台 HP EVA 存储,所有虚拟机都寄存在该 EVA 存储上。
其中一台虚拟机是数年前从物理机迁徙过去的,其上部署了一个 SQL SERVER 数据库,该数据库寄存了最近几年的数据。
虚拟机故障 & 剖析:
工作人员的误操作不小心还原快照了。这个快照是数年前做完数据迁徙后新建的,还原快照就意味着虚拟机数据还原到几年前刚做完数据迁徙时的状态,近几年的数据都被删除了。
还原快照相当于删除数据,意味着底层的存储空间会被开释。为了不让这部分开释的空间被新写入的数据从新应用,必须将连贯到这台 EVA 存储的所有虚拟机都关机。如果有十分重要的虚拟机不能长时间关机,就须要将这些重要的虚拟机迁徙到别的 EXSI 上。刚好本案例中有一台虚拟机不能关机,只能做热迁徙。vmware 虚拟机的热迁徙须要建设多个快照来实现。
Tips:
Vmware 的文件系统是 Vmfs,所有的虚拟机都寄存在这个文件系统中。Vmfs 会默认将整个磁盘分成 1M 的 Block(调配给文件的最小单位为 Block)。Vmfs 中有一片区域描述这些 1M Block 的应用状况,而每 1024 个 Block(也就是 1GB)会用一个 MAP 来记录。这个 MAP 外面记录的 1M Block 在物理磁盘上不肯定是间断的。但这个 MAP 所记录的所有 1M Block 肯定是同一个文件的。能够了解为一个文件是由 N 多个 MAP 中的 1024 个 Block 组成的,即 FileSize:= N MAP 1024(Block)。
Vmware 的快照其实就是一个文件,还原快照相当于删掉一个文件。在 Vmfs 中删掉一个文件只会删掉该文件的索引项,不会删掉文件的理论数据以及指向数据的 MAP。
虚拟机数据恢复过程:
1、依据 Vmware 快照原理,提取整个 vmfs 中闲暇的 MAP。
2、北亚企安数据恢复工程师在闲暇的 MAP 中找出合乎快照文件头构造的 MAP。
3、依据快照文件的构造,提取快照文件剩下的碎片。
4、实现快照文件的提取后,北亚企安数据恢复工程师将快照文件和原 vmdk 合并生成新的 vmdk。
5、新生成的 vmdk 蕴含了所有的数据,挂载新的 vmdk 并解释外面的数据。