【虚拟机数据恢复环境及故障描述】
1)故障虚拟机是由物理机迁移到esxi上面的,迁移完成后以防不稳定做了一个快照。2)虚拟机上运行的是一个sql 2005的数据库,记录了从2011年到2016年所有的数据。3)整个esxi上一共有20几台虚拟机,exsi连接的存储是一台hp eva4400,所有的虚拟机(包括故障虚拟机)都放在eva上。
由于员工的误操作,不小心还原快照了。快照是3年前做完迁移时建的,也就是虚拟机还原到3年前了。也就意味着这3年的数据都被删除了,而这些数据都是特别重要的。
【准备工作】
还原快照就相当于删除数据,也就意味着底层的存储空间会被释放一部分。为了不让这部分空间重用,需要将连接这台存储的所有虚拟机都关掉,如果有重要的虚拟机不能长时间宕机,则需要迁移到别的exsi上。而客户这里有一台虚拟机很重要,不能关机,只能做热迁移。而vmware的热迁移则是需要建立n多个快照来完成迁移的,这给后期的恢复快照工作带来很多麻烦。迁移完所有虚拟机后就需要对底层的eva存储做镜像了,但是客户比较着急,镜像整个存储需要的时间太长。最后将eva存储以只读的方式挂载到一台北亚备份服务器上,我们以只读的方式恢复数据。
【解决方案】
vmware自己的文件系统叫做vmfs,所有的虚拟机都存放在这个文件系统中。vmfs文件系统中默认会将整个磁盘分成1m的block,分配给文件的最小单位为一个block。vmfs文件系统中会有一片区域描述这些1m block的使用情况,而每1024个block(也就是1gb)会用一个map来记录。这个map里面记录的1m block在物理磁盘上不一定是连续的。但这个map所记录的所有1m block一定是同一个文件的。可以理解为一个文件是由n多个map中的1024个block组成的,即filesize:frombyte = n * map * 1024(block)。
vmware的快照其实就是一个文件,还原快照也就意味着是删掉一个文件。而在vmfs文件系统中,删除一个文件只会删掉文件的索引项,而不会删掉文件的实际数据以及指向数据的map。而我们要做的就是提取整个vmfs文件系统中空闲的map,然后在空闲的map中找到一个符合快照文件头结构的map。然后根据快照文件的结构,提取快照文件剩下的碎片。提取完快照文件后,需要将快照文件和原vmdk合并生成新的vmdk。新的vmdk中包涵了所有的数据,接下来挂载新的vmdk解释里面的数据即可。
随着虚拟化技术兴起,越来越多的企业开始应用虚拟化技术。伴随的虚拟化故障也越来越多,但虚拟化的数据恢复技术在国内却没有几家公司可以做,北亚数据恢复专注于虚拟化数据恢复技术研究,对虚拟化底层结构算法研究比较深入,可以解决虚拟化数据丢失出现的各类问题。