虚拟机数据恢复环境:
ESXI上共有数十台虚拟机,EXSI连贯一台HP EVA存储,所有虚拟机都寄存在该EVA存储上。
其中一台虚拟机是数年前从物理机迁徙过去的,其上部署了一个SQL SERVER数据库,该数据库寄存了最近几年的数据。
虚拟机故障&剖析:
工作人员的误操作不小心还原快照了。这个快照是数年前做完数据迁徙后新建的,还原快照就意味着虚拟机数据还原到几年前刚做完数据迁徙时的状态,近几年的数据都被删除了。
还原快照相当于删除数据,意味着底层的存储空间会被开释。为了不让这部分开释的空间被新写入的数据从新应用,必须将连贯到这台EVA存储的所有虚拟机都关机。如果有十分重要的虚拟机不能长时间关机,就须要将这些重要的虚拟机迁徙到别的EXSI上。刚好本案例中有一台虚拟机不能关机,只能做热迁徙。vmware虚拟机的热迁徙须要建设多个快照来实现。
Tips:
Vmware的文件系统是Vmfs,所有的虚拟机都寄存在这个文件系统中。Vmfs会默认将整个磁盘分成1M的Block(调配给文件的最小单位为Block)。Vmfs中有一片区域描述这些1M Block的应用状况,而每1024个Block(也就是1GB)会用一个MAP来记录。这个MAP外面记录的1M Block在物理磁盘上不肯定是间断的。但这个MAP所记录的所有1M Block肯定是同一个文件的。能够了解为一个文件是由N多个MAP中的1024个Block组成的,即FileSize:= N MAP 1024(Block)。
Vmware的快照其实就是一个文件,还原快照相当于删掉一个文件。在Vmfs中删掉一个文件只会删掉该文件的索引项,不会删掉文件的理论数据以及指向数据的MAP。
虚拟机数据恢复过程:
1、依据Vmware快照原理,提取整个vmfs中闲暇的MAP。
2、北亚企安数据恢复工程师在闲暇的MAP中找出合乎快照文件头构造的MAP。
3、依据快照文件的构造,提取快照文件剩下的碎片。
4、实现快照文件的提取后,北亚企安数据恢复工程师将快照文件和原vmdk合并生成新的vmdk。
5、新生成的vmdk蕴含了所有的数据,挂载新的vmdk并解释外面的数据。