EMC Isilon存储构造:
Isilon群集存储系统应用的是分布式文件系统OneFS。Isilon群集存储系统的每个节点均为繁多OneFS文件系统,Isilon在进行横向扩大时不会影响数据的失常应用。Isilon群集存储系统所有节点在工作时都提供雷同的性能,节点没有主备之分。Isilon群集存储系统在存储文件时,OneFS层会将文件分成128K的片段别离寄存到不同的节点中,节点层又会将128K的片段分成8K的小片段别离寄存到该节点的不同硬盘中,用户文件的Indoe信息、目录项及数据MAP则会别离寄存在所有节点中。Isilon群集存储系统的这个个性能够让用户从任何一个节点拜访到所有数据。Isilon群集存储系统在初始化时会让用户抉择相应的存储冗余模式,不同的冗余模式所提供的数据安全级别也不一样(默认3个节点采纳N+2:1模式)。
服务器数据恢复环境:
EMC Isilon S系列群集存储系统,3个节点,每个节点配置12块STAT硬盘。该存储系统寄存的数据是vmware虚拟机(WEB服务器)和视频文件。vmware虚拟机通过NFS协定共享到ESX主机,视频文件通过CIFS协定共享给vmware虚拟机(WEB服务器)。
服务器故障:
管理员因为误操作将该存储系统中NFS协定共享的vmware虚拟机、MSSQL数据库以及大量的MP4、ASF和TS类型的视频文件删除。
服务器数据恢复过程:
1、通过Isilon的web治理界面的集群敞开性能将存储设备失常关机,将存储系统中所有硬盘编号取出。由硬件工程师对所有磁盘进行硬件故障检测,通过检测所有磁盘均可失常读取,无物理故障。以只读形式将所有磁盘做全盘镜像,后续数据分析和数据恢复操作都基于镜像文件进行,防止对原始磁盘数据造成二次毁坏。镜像实现后将所有磁盘依照编号还原到存储设备中。
2、基于镜像文件剖析所有硬盘中的数据。因为数据是被人为手动删除的,不必思考存储的冗余级别。须要剖析的是文件被删除后文件Indoe及数据MAP是否发生变化。
3、通过沟通和剖析,发现被删除的虚构磁盘文件都在64G或以上,并且存储中没有其余类型的大文件。北亚企安数据恢复工程师编写文件Indoe扫描程序,将文件大小64G或以上的Indoe都扫描进去。
4、对扫描进去的Indoe进行剖析,发现Indoe中记录的数据MAP地位,其index指向的内容已不再是失常的数据。所有节点上的Indoe均是同样的状况。
5、持续剖析Inode,发现大文件的数据MAP有多层(树结构),数据MAP中会记录文件的惟一ID,能够尝试找到文件最底层的数据MAP。对文件最底层的数据MAP做遍历跟踪操作,所幸找到最低层的数据MAP。
6、从文件Inode中取出文件的惟一ID,聚合所有合乎该ID的数据MAP。依据数据MAP中的VCN号做排序,发现每个文件的前一万多项数据MAP都不存在,意味着每个文件的前一万多项数据没法复原。
7、失落的数据MAP项大小不到1G,被删除的文件全是虚拟机的vmdk文件,外面都是NTFS文件系统,而NTFS文件系统的MFT根本都在3G的地位。只须要在每个vmdk文件的头部手动伪造一个MBR和DBR就能够解释vmdk外面的数据。
8、对扫描到的数据MAP做解释,并依据VCN号的程序导出数据,没有MAP的状况保留为零。先导出一个vmdk文件做测试,后果导出的vmdk文件比理论状况要小,并且vmdk中MFT的地位也与本身形容不符。随机验证了几个MPA发现都能指向数据区,程序解释MAP的形式也都没有问题。所以猜想可能为文件稠密。
9、将代码进行调整后从新导出方才的vmdk,这次导出的vmdk大小符合实际大小,且MFT的地位也与形容相符。手工伪造一个MBR、分区表和DBR,应用北亚企安自主开发的文件系统解释工具解释其文件系统,而后导出vmdk外面的数据库及视频文件。
10、对vmdk中的数据库及视频文件进行验证没有发现问题后,批量导出所有vmdk文件,再手工一一去批改每个vmdk文件。
11、将所有数据恢复进去之后,交由用户方工程师对数据做完整性及准确性检测,通过重复检测,确认复原进去的数据残缺无效。本次数据恢复工作实现。