【伺服器資料恢復】異常斷電導致ESXI無法連線儲存的資料恢復案例

伺服器資料恢復環境：

一臺伺服器，虛擬化系統為esxi，上層使用iSCSI的方式實現FC SAN功能，iSCSI透過FreeNAS構建。

FreeNAS採用了UFS2檔案系統，esxi虛擬化系統裡有3臺虛擬機器：其中一臺虛擬機器安裝FreeBSD系統，存放資料庫檔案；一臺虛擬機器存放網站資料；一臺虛擬機器安裝Windows server系統，存放資料庫資料和程式程式碼。

伺服器故障：

機房供電不穩，伺服器非正常關機，重啟伺服器後發現ESXI虛擬化系統無法連線儲存。工作人員對伺服器進行故障排查，發現UFS2檔案系統出現故障，於是fsck修復UFS2檔案系統並將ESXI虛擬化系統連線到儲存上。

檢查檔案系統及資料，發現原伺服器上的檔案系統和資料都無法識別。工作人員又將vmfs進行了格式化操作，導致資料丟失。

伺服器資料恢復過程：

1、將伺服器所有硬碟編號後取出，經過硬體工程師檢測，沒有發現有硬碟存在物理故障。將所有磁碟以只讀方式進行扇區級全盤映象，映象完成後按照編號將所有磁碟還原到原伺服器中。後續的資料分析和資料恢復操作都基於映象檔案進行，避免對原始磁碟資料造成二次破壞。

2、基於映象檔案分析底層資料。經過分析，北亞企安資料恢復工程師發現了一個被命名為iscsidata的大小為幾百GB的大檔案。根據UFS2檔案系統的儲存結構定位到這個大檔案的iNode資料。

3、檢視iNode資料發現iscsidata檔案被重建過，iNode指標指向的資料量非常少。這種情況下要進入vmfs檔案系統層去恢復資料就需要先分析出FreeNAS層的必要資訊和資料。

4、透過分析得到如下資訊：

UFS2檔案系統塊大小為16kb，segment大小為2kb，柱面組大小為188176kb，資料指標大小為8位元組，每個塊可容納資料指標數量為2048個。

透過上面資訊計算：一個二級指標塊可儲存的資料量=2048*2048*16KB=64GB。三級指標塊可儲存的資料量=64GB*2048=128TB。

5、嘗試透過iscsidata檔案的三級指標塊來恢復FreeNAS層的資料。由於iscsidata檔案曾經被重建過，部分指標被重建的資料所覆蓋，原檔案的iNode和重建後的檔案的iNode所在的位置完全一致，沒有其他可用於恢復資料的iNode資料。

6、北亞企安資料恢復工程師根據伺服器的實際資料情況編寫小程式收集有用的指標塊，透過小程式收集到了大量二級指標塊和三級指標塊。

7、分析三級指標塊後發現這些指標塊都是無效的，應該是重建iscsidata檔案時被覆蓋了。新的iscsidata檔案在掛載到ESXi後有個VMFS格式化過程，本案例中的ESXi使用GPT分割槽，GPT分割槽會在磁碟最後寫入冗餘的GPT頭和分割槽表資訊資料，這個過程會使用iscsidata檔案的三級指標塊。

8、分析二級指標塊，對有大量二級指標塊的指向資料進行DUMP，然後再從磁碟中的資料定位到二級指標。透過這種方式獲取到大量DUMP的資料。

9、根據NTFS和UFS2檔案系統結構定位到vmfs層，繼而定位到DUMP出的單個64GB檔案&組合資料。

10、經過複雜的查詢和重組操作，最終恢復出3臺虛擬機器及虛擬機器內的全部資料。

11、將恢復出來的資料上傳到準備好的環境中進行驗證，經過使用者方的仔細驗證，確認所有恢復資料完整有效。本次伺服器資料恢復工作完成。