【虛擬機器資料恢復】EXSI虛擬機器誤還原快照的資料恢復案例

虛擬機器資料恢復環境：

故障虛擬機器是由物理機遷移到EXSI上面的，遷移完成後做了一個快照；

故障虛擬機器執行SQL的資料庫，記錄了6年的資料；

EXSI上共有二十幾臺虛擬機器；EXSI連線的儲存是一臺HP EVA儲存，所有的虛擬機器（包括故障虛擬機器）都放在EVA上。

虛擬機器故障描述&分析：

由於工作人員的誤操作將快照還原了。快照是3年前虛擬機器做完遷移時做的，也就是說虛擬機器還原到3年前的狀態，最近3年的資料都被刪除了。管理員聯絡我們資料恢復中心進行資料恢復。

還原快照相當於刪除資料，意味著底層的儲存空間會釋放一部分。為了不讓這部分釋放的空間被重用覆蓋，就必須將連線到這臺EVA儲存的所有虛擬機器都關掉。不能長時間的當機的重要虛擬機器需要遷移到別的EXSI上。使用者這裡就有一臺虛擬機器不能關機，只能做熱遷移。由於vmware的熱遷移是需要建立N多個快照來完成遷移的，這會給後面的恢復快照工作帶來很多麻煩。遷移完所有虛擬機器後需要對底層的EVA儲存做映象，但是映象整個儲存需要的時間太長，使用者比較著急。最後只能將EVA儲存以只讀的方式掛載到一臺伺服器上，以只讀的方式恢復資料。

 

虛擬機器資料恢復過程：

Vmware的檔案系統是Vmfs，所有的虛擬機器都存放在這個檔案系統中。Vmfs檔案系統預設會將整個磁碟分成1M大小的Block，分配給檔案的最小單位為一個Block。Vmfs檔案系統中有一片區域描述這些1M Block的使用情況，而每1024個Block（也就是1GB）會用一個MAP來記錄。這個MAP裡面記錄的1M Block在物理磁碟上不一定是連續的。但這個MAP所記錄的所有1M Block一定是同一個檔案的。可以理解為一個檔案是由N多個MAP中的1024個Block組成的，即FileSize = N * MAP * 1024（Block）。

Vmware的快照就是一個檔案，還原快照也就是刪掉一個檔案。在Vmfs檔案系統中，刪除一個檔案只會刪掉檔案的索引項，而不會刪掉檔案的實際資料以及指向資料的MAP。

1、北亞資料恢復工程師提取整個vmfs檔案系統中空閒的MAP，在空閒的MAP中找到一個符合快照檔案頭結構的MAP。

2、根據快照檔案的結構，提取快照檔案剩下的碎片。

3、提取完快照檔案後，將快照檔案和原vmdk合併生成新的vmdk，新的vmdk中包含了所有的資料。

4、掛載新的vmdk並解釋裡面的資料。由使用者親自對恢復出來的資料進行驗證。

 

虛擬機器資料恢復結果：

由於使用者做過虛擬機器的熱遷移的操作，導致快照中的幾個碎片被重用。最終恢復的資料中，最新的資料不可用。但由於需要恢復的資料是資料庫，每天都備份2次。雖然最新的資料不可用，但備份的資料可用。整個恢復工作耗時2天。