【伺服器虛擬化資料恢復】ESXI虛擬機器誤操作還原快照導致資料丟失的資料恢復案例

伺服器虛擬化資料恢復環境：

故障虛擬機器是由物理機遷移到ESXI，遷移完成後做了一個快照。

故障虛擬機器上執行的是一個sql server資料庫，記錄了近5年的資料。

ESXI上有二十多臺虛擬機器，EXSI連線一臺HP EVA儲存，所有的虛擬機器（包括故障虛擬機器）都放在這臺EVA儲存上。

伺服器虛擬化故障&分析：

由於誤操作不小心將3年前的快照還原了，即把虛擬機器還原到3年前的狀態，最近3年的資料都被刪除了。

虛擬機器還原快照意味著刪除資料，釋放底層的儲存空間。為了不讓這部分空間被重新利用，需要將連線這臺儲存的所有虛擬機器

都關機。如果有重要的虛擬機器不能長時間關機，可以遷移到別的EXSI上。本案例剛好有一臺虛擬機器執行關鍵業務不能關機，只

能做熱遷移。由於vmware熱遷移需要建立多個快照來完成，而這會給後期的恢復快照工作帶來額外的困難。遷移完所有虛擬

機後按照北亞資料恢復流程需要對底層的EVA儲存做完整映象，但是由於使用者比較著急，而映象整個儲存時間太長，只能將

EVA儲存以只讀的方式掛載到一臺北亞備份伺服器上以只讀的方式恢復資料。

伺服器虛擬化資料恢復過程：

Vmware的檔案系統叫做Vmfs，所有的虛擬機器都存放在這個檔案系統中。Vmfs檔案系統會預設將整個磁碟劃分成1M的Block

，分配給檔案的最小單位就是一個Block。Vmfs檔案系統中會有一片區域描述這些1M Block的使用情況，每1024個Block

（也就是1GB）會用一個MAP來記錄。這個MAP裡面記錄的1M Block在物理磁碟上不一定是連續的，但這個MAP所記錄的

所有1M Block一定是同一個檔案的。換句話說：一個檔案是由N多個MAP中的1024個Block組成的，即

FileSize = N * MAP * 1024（Block）。

 

Vmware快照就是一個檔案，還原快照就是刪掉一個檔案。在Vmfs檔案系統中刪除一個檔案只會刪掉檔案的索引項，而不會

刪掉檔案的實際資料以及指向資料的MAP。

1、提取整個vmfs檔案系統中空閒的MAP。

2、空閒的MAP中找到一個符合快照檔案頭結構的MAP。

3、根據快照檔案的結構提取快照檔案剩下的碎片。

4、提取完快照檔案後將快照檔案和原vmdk合併生成新的vmdk，新的vmdk中包含了所有的資料。

5、掛載新的vmdk並解釋裡面的資料即可恢復還原快照之前的資料。