服务器数据恢复环境:
从物理机迁移一台虚拟机到ESXI,迁移后做了一个快照。该虚拟机上部署了一个SQLServer数据库,存放了5年左右的数据。ESXI上有数十台虚拟机,EXSI连接了一台EVA存储,所有的虚拟机都在EVA存储上。
服务器故障:
由于工作人员的误操作,不小心将几年前迁移数据后做的快照还原了。因为快照是几年前做的,还原快照意味着这几年的数据被删除了。
还原快照相当于删除数据,底层的空间会被释放。为了避免这部分释放的空间写入新数据,需要将连接这台存储的所有虚拟机都关掉。如果有重要的虚拟机不能长时间宕机,则需要将该虚拟机迁移到别的EXSI上。刚好用户有一台虚拟机很重要,不能长时间关机,只能做热迁移。vmware的热迁移需要建立N多个快照来完成,这给后期的恢复工作带来很多麻烦。
服务器数据恢复过程:
Vmware的文件系统叫做Vmfs,所有的虚拟机都存放在这个Vmfs中。Vmfs默认将磁盘分成1M的Block,分配给文件的最小单位为一个Block。Vmfs有一片区域来描述这些1M Block的使用情况,而每1024个Block(也就是1GB)会用一个MAP来记录。MAP记录的1M Block在物理磁盘上不一定是连续的。但一个MAP所记录的所有1M Block一定是同一个文件的。一个文件是由N多个MAP中的1024个Block组成的,即FileSize= N * MAP * 1024(Block)。
Vmware的快照其实就是一个文件,还原快照也就意味着是删掉一个文件。在Vmfs中,删除一个文件只会删掉文件的索引项,而不会删掉文件的实际数据以及指向数据的MAP。
1、将故障服务器中所有磁盘编号后取出,以只读方式将所有磁盘做全盘镜像备份,备份完成后按照编号将磁盘还原到原服务器中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析Vmfs,北亚企安数据恢复工程师编写小程序提取整个vmfs中空闲的MAP。
3、在提取出的空闲MAP中找到一个符合快照文件头结构的MAP。根据快照文件的结构,北亚企安数据恢复工程师调整程序提取快照文件剩下的碎片。
4、快照文件提取完成后,将快照文件和原vmdk合并生成新的vmdk,新的vmdk中包含了所有的数据。
5、挂载新的vmdk并解释其中的数据。
6、用户对恢复出来的数据进行验证,经过反复验证确认恢复出来的数据完整可用。本次数据恢复工作完成。
