EMC Isilon存儲數據恢復成功案例
北京某公司的EMC服務器采用高端網絡NAS(Isilon S200),共有三個節點,每一節點配置12塊硬盤,單盤接口為SATA硬盤,容量為3T。管理員工作中誤刪除虛擬機,其中包括數據庫、MP4、AS、TS類型的視頻文件等。需要進行數據恢復的虛擬機NFS協議共享到ESX主機,視頻文件通過CIFS協議共享給虛擬機(WEB服務器)。NFS共享的所有數據(也就是所有虛擬機)被刪除而CIFS共享的數據則沒有被刪除。
【服務器數據恢復第一步:備份】
在數據恢復過程中為保障數據安全、以免對數據造成二次破壞,數據恢復之前需要將所有硬盤進行全部備份。在本例中由於磁盤數量太多且單盤容量太大(單節點12塊盤,3個節點36塊盤,單盤3TB,一共108TB),因此備份周期會較長。
【服務器數據恢復第二步:數據分析】
服務器數據備份完成後在Isilon的web管理界面中將Isilon正常關機。將備份好的服務器數據放到數據恢復平臺中對數據進行分析。由於數據丟失的原因是誤刪除,所以可以不用過多考慮該服務器的冗余級別,需要重點分析的是文件刪除後Indoe及數據MAP是否發生變化。由於服務器中被刪除的虛擬磁盤文件大小都在64G或以上,該服務器中再無其他大文件。數據恢復工程師決定編寫掃描所有文件Indoe的程序,將文件不小於64G大小的indoe全部掃描出來,通過對Indoe進行掃描找出數據MAP位置,其index指向的內容已不再是正常數據,並且所有節點上的Indoe均是同樣的情況。再仔細分析Inode,發現大文件的數據MAP會有多層(樹結構),並且數據MAP中會記錄文件的唯一ID,因此可以嘗試找到文件最底層的數據MAP。抱著僥幸心理對文件最底層的數據MAP做遍歷跟蹤操作,發現最低層的數據MAP果然還在。
【服務器數據恢復過程】
通過文件的Inode進行唯一ID的提取工作,然後對所有符合該ID的數據MAP做聚合。並根據數據MAP中的VCN號做排序,工程師通過分析發現每個文件的前17088項數據MAP都不存在,理論上則每個文件的前17088項數據是真的沒辦法恢復了。
通過仔細的數據換算得知丟失的數據MAP項總共才包含不到1G的數據,刪除的文件全是虛擬機的vmdk文件,裏面都是NTFS的文件系統,NTFS文件系統的MFT基本都在3G的位置。如此看來只需要在每個vmdk文件的頭部手動偽造一個MBR和DBR就可以解釋vmdk裏面的數據了。對掃描到的數據MAP做解釋,並根據VCN號的順序導出數據,沒有MAP的情況保留為零。
數據恢復工程師重新調整了代碼部分後再次導出vmdk,這次導出的數據正常且MFT的位置也在相應位置。手工偽造一個MBR,分區表以及DBR,再用北亞開發的文件系統解釋工具成功解釋其文件系統,導出vmdk裏面的數據庫及視頻文件。
在驗證了此vmdk中的數據庫及視頻文件沒問題後,批量導出所有重要的vmdk文件,再手工一個一個的去修改每個vmdk文件。
【服務器數據恢復成功】
將客戶所有重要的數據恢復完成後,由客戶方安排工程師對恢復的所有數據做完整性及準確性檢測,數據最終確定完全沒有問題,數據恢復成功。
EMC Isilon存儲數據恢復成功案例