虚拟机数据恢复环境:
故障虚拟机是由物理机迁徙到EXSI下面的,迁徙实现后做了一个快照;
故障虚拟机运行SQL的数据库,记录了6年的数据;
EXSI上共有二十几台虚拟机;EXSI连贯的存储是一台HP EVA存储,所有的虚拟机(包含故障虚拟机)都放在EVA上。
虚拟机故障形容&剖析:
因为工作人员的误操作将快照还原了。快照是3年前虚拟机做完迁徙时做的,也就是说虚拟机还原到3年前的状态,最近3年的数据都被删除了。管理员分割咱们数据恢复核心进行数据恢复。
还原快照相当于删除数据,意味着底层的存储空间会开释一部分。为了不让这部分开释的空间被重用笼罩,就必须将连贯到这台EVA存储的所有虚拟机都关掉。不能长时间的宕机的重要虚拟机须要迁徙到别的EXSI上。用户这里就有一台虚拟机不能关机,只能做热迁徙。因为vmware的热迁徙是须要建设N多个快照来实现迁徙的,这会给前面的复原快照工作带来很多麻烦。迁徙完所有虚拟机后须要对底层的EVA存储做镜像,然而镜像整个存储须要的工夫太长,用户比拟焦急。最初只能将EVA存储以只读的形式挂载到一台服务器上,以只读的形式复原数据。
虚拟机数据恢复过程:
Vmware的文件系统是Vmfs,所有的虚拟机都寄存在这个文件系统中。Vmfs文件系统默认会将整个磁盘分成1M大小的Block,调配给文件的最小单位为一个Block。Vmfs文件系统中有一片区域描述这些1M Block的应用状况,而每1024个Block(也就是1GB)会用一个MAP来记录。这个MAP外面记录的1M Block在物理磁盘上不肯定是间断的。但这个MAP所记录的所有1M Block肯定是同一个文件的。能够了解为一个文件是由N多个MAP中的1024个Block组成的,即FileSize = N MAP 1024(Block)。
Vmware的快照就是一个文件,还原快照也就是删掉一个文件。在Vmfs文件系统中,删除一个文件只会删掉文件的索引项,而不会删掉文件的理论数据以及指向数据的MAP。
1、北亚数据恢复工程师提取整个vmfs文件系统中闲暇的MAP,在闲暇的MAP中找到一个合乎快照文件头构造的MAP。
2、依据快照文件的构造,提取快照文件剩下的碎片。
3、提取完快照文件后,将快照文件和原vmdk合并生成新的vmdk,新的vmdk中蕴含了所有的数据。
4、挂载新的vmdk并解释外面的数据。由用户亲自对复原进去的数据进行验证。
虚拟机数据恢复后果:
因为用户做过虚拟机的热迁徙的操作,导致快照中的几个碎片被重用。最终复原的数据中,最新的数据不可用。但因为须要复原的数据是数据库,每天都备份2次。尽管最新的数据不可用,但备份的数据可用。整个复原工作耗时2天。