虛擬化數(shù)據(jù)恢復環(huán)境：
SAN環(huán)境下通過iSCSI實現(xiàn)FreeNAS，F(xiàn)reeNAS采用的UFS2文件系統(tǒng)。物理存儲架構在一臺服務器上，另外兩臺服務器上安裝ESXi虛擬化系統(tǒng)。整個存儲建立一個稀疏模式的文件，并掛載到ESXi虛擬化系統(tǒng)上。ESXi系統(tǒng)上有5臺虛擬機。
其中有三臺虛擬機比較重要：第一臺安裝windows server操作系統(tǒng)的虛擬機作為網站服務器使用，部署了ASP.net+SqlServer和PHP+mysql兩套架構；第二臺虛擬機安裝FreeBSD系統(tǒng)，部署Mysql數(shù)據(jù)庫，供其它幾臺虛擬機使用；第三臺虛擬機安裝windows server操作系統(tǒng)，存放程序代碼。

虛擬化故障：
一次異常斷電后，ESXi虛擬化系統(tǒng)連不上存儲。管理員發(fā)現(xiàn)FreeNAS上的UFS2文件系統(tǒng)出現(xiàn)問題，于是使用fsck命令修復文件系統(tǒng)。 雖然在修復完成后ESXi系統(tǒng)可以連上存儲，但是ESXi系統(tǒng)無法識別到原來的數(shù)據(jù)存儲和VMFS文件系統(tǒng)，管理員格式化VMFS后發(fā)現(xiàn)里面空無一物。

虛擬化數(shù)據(jù)恢復過程：
應用構架：FreeNAS（UFS2文件系統(tǒng)–> 一個大的稀疏模式的文件）–> ESXi (VMFS文件系統(tǒng)層) -> 單臺虛擬機的虛擬磁盤 (windows server-NTFS文件系統(tǒng)/FreeBSD-UFS2文件系統(tǒng))。
1、鏡像FreeNAS。基于鏡像文件分析整個存儲，發(fā)現(xiàn)一個名稱為iscsidata的大文件。根據(jù)UFS2文件系統(tǒng)的二進制結構定位到iscsidata文件的Inode數(shù)據(jù)，發(fā)現(xiàn)此文件被重建過，inode指針指向的數(shù)據(jù)量很少。FreeNAS層問題無法解決，無法進入到下一步的VMFS層分析。
UFS2文件系統(tǒng)結構：
塊大小：16KB
Segment大小：2KB
柱面組大小：188176KB
UFS2文件系統(tǒng)一個數(shù)據(jù)指針占8字節(jié)，一個塊可以存儲2048個數(shù)據(jù)指針，一個二級指針塊可存儲2048×2048×16KB=64GB數(shù)據(jù)，一個三級指針塊則可存儲64GB*2048=128TB數(shù)據(jù)。如果能找到iscsidata文件的三級指針塊就能解決FreeNAS層問題，但是iscsidata文件被重建過，應該有部分指針塊已被覆蓋。原始 iscsidata文件的inode和新建iscsidata文件的inode在一個位置，嘗試搜索沒有發(fā)現(xiàn)有用的inode。北亞企安數(shù)據(jù)恢復工程師編寫程序收集有用的指針塊。
2、由于iscsidata文件使用的稀疏模式，放寬收集條件后收集到了大量三級指針塊和二級指針塊。分析發(fā)現(xiàn)所有收集到的三級指針塊都是無效的，沒有發(fā)現(xiàn)iscsidata文件使用的三級指針塊，估計在新建iscsidata文件時被覆蓋。
3、分析收集到的二級指針塊，對有大量二級指針塊的指向數(shù)據(jù)進行DUMP，得到大量DUMP的數(shù)據(jù)。
4、因為重新格式化過VMFS文件系統(tǒng)，原始UFS2文件系統(tǒng)的指針已經丟失，VMFS元文件基本上不可用，無重要的參考信息。通過單臺虛擬機(windows(NTFS)和FreeBSD(UFS2)系統(tǒng)的文件系統(tǒng)結構)向上定位到VMFS層，再通過VMFS層定位到DUMP出的單個64GB文件。通過多次組合，最終這三臺重要虛擬機的虛擬磁盤數(shù)據(jù)已完全恢復。將恢復出的網頁數(shù)據(jù)和數(shù)據(jù)庫數(shù)據(jù)上傳到一新建的系統(tǒng)中，拉起應用，數(shù)據(jù)完全無問題。

審核編輯 黃宇