服務(wù)器數(shù)據(jù)恢復(fù)—EMC Isilon存儲(chǔ)中虛擬機(jī)數(shù)據(jù)恢復(fù)案例
服務(wù)器存儲(chǔ)數(shù)據(jù)恢復(fù)環(huán)境:
EMC Isilon S200集群存儲(chǔ),共三個(gè)節(jié)點(diǎn),每節(jié)點(diǎn)配置12塊SATA硬盤。
服務(wù)器存儲(chǔ)故障:
工作人員誤操作刪除虛擬機(jī),虛擬機(jī)中數(shù)據(jù)包括數(shù)據(jù)庫、MP4、AS、TS類型的視頻文件等。需要恢復(fù)數(shù)據(jù)的虛擬機(jī)通過NFS協(xié)議共享到ESX主機(jī),視頻文件通過CIFS協(xié)議共享給虛擬機(jī)(WEB服務(wù)器)。
通過NFS協(xié)議共享的所有數(shù)據(jù)(虛擬機(jī))被刪除,而通過CIFS協(xié)議共享的數(shù)據(jù)沒有被刪除。
北亞企安數(shù)據(jù)恢復(fù)——虛擬機(jī)數(shù)據(jù)恢復(fù)
服務(wù)器存儲(chǔ)數(shù)據(jù)恢復(fù)過程:
1、將所有節(jié)點(diǎn)中硬盤編號后取出,硬件工程師檢測后沒有發(fā)現(xiàn)有硬盤存在硬件故障和明顯壞道。將所有磁盤以只讀方式進(jìn)行扇區(qū)級全盤鏡像,鏡像完成后將所有磁盤按照編號還原到原節(jié)點(diǎn)中,后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行,避免對原始磁盤數(shù)據(jù)造成二次破壞。
北亞企安數(shù)據(jù)恢復(fù)——虛擬機(jī)數(shù)據(jù)恢復(fù)
2、所有數(shù)據(jù)備份完成后,在Isilon的web管理界面中將Isilon正常關(guān)機(jī)。
北亞企安數(shù)據(jù)恢復(fù)——虛擬機(jī)數(shù)據(jù)恢復(fù)
基于鏡像文件對底層數(shù)據(jù)進(jìn)行分析。由于是誤刪除數(shù)據(jù),所以需要分析數(shù)據(jù)刪除后Indoe及數(shù)據(jù)MAP是否發(fā)生變化。由于被刪除的虛擬磁盤文件大小都在64G或以上,而且存儲(chǔ)中無其他大文件。北亞企安數(shù)據(jù)恢復(fù)工程師編寫程序掃描所有文件Indoe,將大小不小于64G的文件indoe全部掃描出來。通過掃描Indoe找出數(shù)據(jù)MAP位置,發(fā)現(xiàn)其index指向的內(nèi)容已不再是正常數(shù)據(jù),并且所有節(jié)點(diǎn)上的Indoe均是同樣的情況。
3、分析Inode,發(fā)現(xiàn)大文件的數(shù)據(jù)MAP會(huì)有多層(樹結(jié)構(gòu)),并且數(shù)據(jù)MAP中會(huì)記錄文件的唯一ID,因此可以嘗試找到文件最底層的數(shù)據(jù)MAP。北亞企安數(shù)據(jù)恢復(fù)工程師嘗試對文件底層數(shù)據(jù)MAP做遍歷跟蹤操作,發(fā)現(xiàn)底層的數(shù)據(jù)MAP還在。
北亞企安數(shù)據(jù)恢復(fù)——虛擬機(jī)數(shù)據(jù)恢復(fù)
4、通過文件的Inode提取唯一ID,然后將所有符合該ID的數(shù)據(jù)MAP做聚合。根據(jù)數(shù)據(jù)MAP中的VCN號排序,北亞企安數(shù)據(jù)恢復(fù)工程師分析發(fā)現(xiàn)每個(gè)文件的前17088項(xiàng)數(shù)據(jù)MAP都不存在,理論上這些數(shù)據(jù)是無法恢復(fù)了。
5、通過數(shù)據(jù)換算得知丟失的數(shù)據(jù)MAP項(xiàng)的大小不到1GB,刪除的文件是虛擬機(jī)的vmdk文件,里面都是NTFS文件系統(tǒng),而NTFS文件系統(tǒng)的MFT一般都在3GB的位置,只需要在每個(gè)vmdk文件的頭部偽造一個(gè)MBR和DBR就可以解釋vmdk里面的數(shù)據(jù)。解釋掃描到的數(shù)據(jù)MAP并根據(jù)VCN號的順序?qū)С鰯?shù)據(jù),沒有MAP的情況保留為零。
6、將其中一個(gè)vmdk文件導(dǎo)出,但導(dǎo)出的文件比實(shí)際情況要小,vmdk中MFT的位置也與自身描述不符。隨機(jī)驗(yàn)證了幾個(gè)MPA發(fā)現(xiàn)都能指向數(shù)據(jù)區(qū),程序解釋MAP的方式也都沒有問題,出現(xiàn)這種情況的原因可能為文件稀疏!
7、重新調(diào)整部分代碼再次導(dǎo)出vmdk,這次導(dǎo)出的數(shù)據(jù)正常且MFT的位置也在相應(yīng)位置。手工偽造一個(gè)MBR,分區(qū)表以及DBR,再用北亞企安自主開發(fā)的文件系統(tǒng)解釋工具解釋文件系統(tǒng),導(dǎo)出vmdk里面的數(shù)據(jù)庫及視頻文件。
北亞企安數(shù)據(jù)恢復(fù)——虛擬機(jī)數(shù)據(jù)恢復(fù)
8、經(jīng)過驗(yàn)證,此vmdk中的數(shù)據(jù)庫及視頻文件沒有發(fā)現(xiàn)問題,批量導(dǎo)出所有vmdk文件,再手動(dòng)修改每個(gè)vmdk文件。
9、將所有數(shù)據(jù)恢復(fù)完成后,用戶方工程師對所有恢復(fù)出來的數(shù)據(jù)做完整性及準(zhǔn)確性檢測,經(jīng)過檢測沒有發(fā)現(xiàn)問題,本次數(shù)據(jù)恢復(fù)工作完成。
審核編輯 黃宇
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9123瀏覽量
85324 -
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
568瀏覽量
17432 -
emc
+關(guān)注
關(guān)注
170文章
3914瀏覽量
183121 -
虛擬機(jī)
+關(guān)注
關(guān)注
1文章
914瀏覽量
28160
發(fā)布評論請先 登錄
相關(guān)推薦
虛擬化數(shù)據(jù)恢復(fù)—XenServer虛擬機(jī)數(shù)據(jù)恢復(fù)案例
虛擬化數(shù)據(jù)恢復(fù)——Hyper-V虛擬機(jī)數(shù)據(jù)恢復(fù)案例
虛擬機(jī)數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致XenServer虛擬機(jī)不可用的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—意外斷電導(dǎo)致虛擬機(jī)虛擬磁盤損壞的數(shù)據(jù)恢復(fù)案例
虛擬機(jī)數(shù)據(jù)恢復(fù)—KVM虛擬機(jī)被誤刪除的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致存儲(chǔ)癱瘓的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—誤刪除KVM虛擬機(jī)的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—同友存儲(chǔ)raid5陣列崩潰的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—異常斷電導(dǎo)致VMware虛擬機(jī)無法啟動(dòng)的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—EVA存儲(chǔ)異常斷電后出現(xiàn)故障的數(shù)據(jù)恢復(fù)方案
服務(wù)器數(shù)據(jù)恢復(fù)—KVM虛擬機(jī)raw格式磁盤文件數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—同友存儲(chǔ)磁盤陣列上層虛擬機(jī)數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—VMware虛擬機(jī)無法啟動(dòng)的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)-異常斷電導(dǎo)致服務(wù)器故障的數(shù)據(jù)恢復(fù)案例
【服務(wù)器數(shù)據(jù)恢復(fù)】raid5崩潰導(dǎo)致同友存儲(chǔ)無法啟動(dòng)的數(shù)據(jù)恢復(fù)案例
工商網(wǎng)監(jiān)
評論