【虛擬機器資料恢復】ESXI虛擬機器被誤還原快照的資料恢復案例

虛擬機器資料恢復環境：

ESXI上共有數十臺虛擬機器，EXSI連線一臺HP EVA儲存，所有虛擬機器都存放在該EVA儲存上。

其中一臺虛擬機器是數年前從物理機遷移過來的，其上部署了一個SQL SERVER資料庫，該資料庫存放了最近幾年的資料。

 

虛擬機器故障&分析：

工作人員的誤操作不小心還原快照了。這個快照是數年前做完資料遷移後新建的，還原快照就意味著虛擬機器資料還原到幾年前

剛做完資料遷移時的狀態，近幾年的資料都被刪除了。

還原快照相當於刪除資料，意味著底層的儲存空間會被釋放。為了不讓這部分釋放的空間被新寫入的資料重新使用，必須將連

接到這臺EVA儲存的所有虛擬機器都關機。如果有非常重要的虛擬機器不能長時間關機，就需要將這些重要的虛擬機器遷移到別的

EXSI上。剛好本案例中有一臺虛擬機器不能關機，只能做熱遷移。vmware虛擬機器的熱遷移需要建立多個快照來完成。

Tips：

Vmware的檔案系統是Vmfs，所有的虛擬機器都存放在這個檔案系統中。Vmfs會預設將整個磁碟分成1M的Block（分配給檔案

的最小單位為Block）。Vmfs中有一片區域描述這些1M Block的使用情況，而每1024個Block（也就是1GB）會用一個MAP

來記錄。這個MAP裡面記錄的1M Block在物理磁碟上不一定是連續的。但這個MAP所記錄的所有1M Block一定是同一個文

件的。可以理解為一個檔案是由N多個MAP中的1024個Block組成的，即FileSize：= N * MAP * 1024（Block）。

 Vmware的快照其實就是一個檔案，還原快照相當於刪掉一個檔案。在Vmfs中刪掉一個檔案只會刪掉該檔案的索引項，不會

刪掉檔案的實際資料以及指向資料的MAP。

虛擬機器資料恢復過程：

1、根據Vmware快照原理，提取整個vmfs中空閒的MAP。

2、北亞企安資料恢復工程師在空閒的MAP中找出符合快照檔案頭結構的MAP。

3、根據快照檔案的結構，提取快照檔案剩下的碎片。

4、完成快照檔案的提取後，北亞企安資料恢復工程師將快照檔案和原vmdk合併生成新的vmdk。

5、新生成的vmdk包含了所有的資料，掛載新的vmdk並解釋裡面的資料。