共计 694 个字符,预计需要花费 2 分钟才能阅读完成。
虚拟机数据恢复环境 & 故障:
由一台物理服务器迁徙到 ESXI 上的虚拟机,虚拟机迁徙实现后做了一个快照,该 ESXI 下面一共运行了数十台虚拟机。某天工作人员不小心将快照进行了还原,虚拟机内的数据还原到了数年前刚迁徙过去时的状态,迁徙过去后的这几年更新的数据全副被删除。
虚拟机还原快照与删除数据在实质上是一样的,虚拟机删除快照后会将底层存储空间相应的空间开释,而后重用这部分释放出来的空间存储新的数据。所以,如果一台虚拟机不小心还原了快照,应该尽快将还原快照的虚拟机所在存储上的所有虚构机关机或迁徙到其余 ESXI 上。
要复原虚拟机数据,咱们须要先理解 vmfs 的底层构造,vmfs 是 wmware 自有文件系统,在这个文件系统下所有的硬盘被默认划分为若干个区域,这些区域最小单位被称为“block”,每个 block 的大小为 1MB,每 1024 个 block 组成一个 MAP,这些信息都记录在文件系统的某一个特定区域内。每个 map 中的 block 在物理硬盘上的存储程序是不间断的,但每个 map 中的所有 block 肯定是属于一个文件的,即 FileSize=N×MAP×1024(Block)。
虚拟机数据恢复过程:
vmfs 中如果某文件被删除,在底层数据中只是删除了该文件的索引项,理论数据内容和指向数据 map 并没有被删除。
1、应用北亚企安自研的数据提取工具将整个文件系统外面的所有闲暇 map 提取进去。
2、在提取进去的 map 中找到合乎快照文件头构造的 map。
3、依据文件构造提取剩下的文件碎片。
4、将所有数据提取实现后,联合原有的 vmdk 合成一个新的 vmdk。
5、挂载新合成的 vmdk 文件,解释该 vmdk 文件外面的数据即可。