虛拟機資料恢複環境:
ESXI上共有數十台虛拟機,EXSI連接配接一台HP EVA存儲,所有虛拟機都存放在該EVA存儲上。
其中一台虛拟機是數年前從實體機遷移過來的,其上部署了一個SQL SERVER資料庫,該資料庫存放了最近幾年的資料。
北亞企安資料恢複——ESXI資料恢複
虛拟機故障&分析:
從業人員的誤操作不小心還原快照了。這個快照是數年前做完資料遷移後建立的,還原快照就意味着虛拟機資料還原到幾年前剛做完資料遷移時的狀态,近幾年的資料都被删除了。
還原快照相當于删除資料,意味着底層的存儲空間會被釋放。為了不讓這部分釋放的空間被新寫入的資料重新使用,必須将連接配接到這台EVA存儲的所有虛拟機都關機。如果有非常重要的虛拟機不能長時間關機,就需要将這些重要的虛拟機遷移到别的EXSI上。剛好本案例中有一台虛拟機不能關機,隻能做熱遷移。vmware虛拟機的熱遷移需要建立多個快照來完成。
Tips:
Vmware的檔案系統是Vmfs,所有的虛拟機都存放在這個檔案系統中。Vmfs會預設将整個磁盤分成1M的Block(配置設定給檔案的最小機關為Block)。Vmfs中有一片區域描述這些1M Block的使用情況,而每1024個Block(也就是1GB)會用一個MAP來記錄。這個MAP裡面記錄的1M Block在實體磁盤上不一定是連續的。但這個MAP所記錄的所有1M Block一定是同一個檔案的。可以了解為一個檔案是由N多個MAP中的1024個Block組成的,即FileSize:= N * MAP * 1024(Block)。
Vmware的快照其實就是一個檔案,還原快照相當于删掉一個檔案。在Vmfs中删掉一個檔案隻會删掉該檔案的索引項,不會删掉檔案的實際資料以及指向資料的MAP。
北亞企安資料恢複
虛拟機資料恢複過程:
1、根據Vmware快照原理,提取整個vmfs中空閑的MAP。
2、北亞企安資料恢複工程師在空閑的MAP中找出符合快照檔案頭結構的MAP。
3、根據快照檔案的結構,提取快照檔案剩下的碎片。
4、完成快照檔案的提取後,北亞企安資料恢複工程師将快照檔案和原vmdk合并生成新的vmdk。
5、新生成的vmdk包含了所有的資料,挂載新的vmdk并解釋裡面的資料。
北亞企安資料恢複