EMC Isilon存儲結構:
Isilon群集存儲系統使用的是分布式檔案系統OneFS。Isilon群集存儲系統的每個節點均為單一OneFS檔案系統,Isilon在進行橫向擴充時不會影響資料的正常使用。Isilon群集存儲系統所有節點在工作時都提供相同的功能,節點沒有主備之分。Isilon群集存儲系統在存儲檔案時,OneFS層會将檔案分成128K的片段分别存放到不同的節點中,節點層又會将128K的片段分成8K的小片段分别存放到該節點的不同硬碟中,使用者檔案的Indoe資訊、目錄項及資料MAP則會分别存放在所有節點中。Isilon群集存儲系統的這個特性可以讓使用者從任何一個節點通路到所有資料。Isilon群集存儲系統在初始化時會讓使用者選擇相應的存儲備援模式,不同的備援模式所提供的資料安全級别也不一樣(預設3個節點采用N+2:1模式)。
北亞企安資料恢複——OneFS資料恢複
伺服器資料恢複環境:
EMC Isilon S系列群集存儲系統,3個節點,每個節點配置12塊STAT硬碟。該存儲系統存放的資料是vmware虛拟機(WEB伺服器)和視訊檔案。vmware虛拟機通過NFS協定共享到ESX主機,視訊檔案通過CIFS協定共享給vmware虛拟機(WEB伺服器)。
北亞企安資料恢複——OneFS資料恢複
伺服器故障:
管理者由于誤操作将該存儲系統中NFS協定共享的vmware虛拟機、MSSQL資料庫以及大量的MP4、ASF和TS類型的視訊檔案删除。
伺服器資料恢複過程:
1、通過Isilon的web管理界面的叢集關閉功能将儲存設備正常關機,将存儲系統中所有硬碟編号取出。由硬體工程師對所有磁盤進行硬體故障檢測,經過檢測所有磁盤均可正常讀取,無實體故障。以隻讀方式将所有磁盤做全盤鏡像,後續資料分析和資料恢複操作都基于鏡像檔案進行,避免對原始磁盤資料造成二次破壞。鏡像完成後将所有磁盤按照編号還原到儲存設備中。
北亞企安資料恢複——OneFS資料恢複
2、基于鏡像檔案分析所有硬碟中的資料。由于資料是被人為手動删除的,不用考慮存儲的備援級别。需要分析的是檔案被删除後檔案Indoe及資料MAP是否發生變化。
3、經過溝通和分析,發現被删除的虛拟磁盤檔案都在64G或以上,并且存儲中沒有其他類型的大檔案。北亞企安資料恢複工程師編寫檔案Indoe掃描程式,将檔案大小64G或以上的Indoe都掃描出來。
4、對掃描出來的Indoe進行分析,發現Indoe中記錄的資料MAP位置,其index指向的内容已不再是正常的資料。所有節點上的Indoe均是同樣的情況。
5、繼續分析Inode,發現大檔案的資料MAP有多層(樹結構),資料MAP中會記錄檔案的唯一ID,可以嘗試找到檔案最底層的資料MAP。對檔案最底層的資料MAP做周遊跟蹤操作,所幸找到最低層的資料MAP。
6、從檔案Inode中取出檔案的唯一ID,聚合所有符合該ID的資料MAP。根據資料MAP中的VCN号做排序,發現每個檔案的前一萬多項資料MAP都不存在,意味着每個檔案的前一萬多項資料沒法恢複。
7、丢失的資料MAP項大小不到1G,被删除的檔案全是虛拟機的vmdk檔案,裡面都是NTFS檔案系統,而NTFS檔案系統的MFT基本都在3G的位置。隻需要在每個vmdk檔案的頭部手動僞造一個MBR和DBR就可以解釋vmdk裡面的資料。
8、對掃描到的資料MAP做解釋,并根據VCN号的順序導出資料,沒有MAP的情況保留為零。先導出一個vmdk檔案做測試,結果導出的vmdk檔案比實際情況要小,并且vmdk中MFT的位置也與自身描述不符。随機驗證了幾個MPA發現都能指向資料區,程式解釋MAP的方式也都沒有問題。是以猜測可能為檔案稀疏。
9、将代碼進行調整後重新導出剛才的vmdk,這次導出的vmdk大小符合實際大小,且MFT的位置也與描述相符。手工僞造一個MBR、分區表和DBR,使用北亞企安自主開發的檔案系統解釋工具解釋其檔案系統,然後導出vmdk裡面的資料庫及視訊檔案。
10、對vmdk中的資料庫及視訊檔案進行驗證沒有發現問題後,批量導出所有vmdk檔案,再手工逐個去修改每個vmdk檔案。
北亞企安資料恢複——OneFS資料恢複
11、将所有資料恢複出來之後,交由使用者方工程師對資料做完整性及準确性檢測,經過反複檢測,确認恢複出來的資料完整有效。本次資料恢複工作完成。