【服務(wù)器數(shù)據(jù)恢復(fù)】NetApp存儲卷中的虛擬機(jī)數(shù)據(jù)恢復(fù)案例

服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
某公司的一臺NetApp某型號存儲；
幾十塊磁盤組建兩組存儲池，兩組存儲池互為鏡像；
存儲池劃分卷并映射到ESXI作為數(shù)據(jù)存儲使用，卷內(nèi)有數(shù)百臺虛擬機(jī)。

服務(wù)器故障：
管理員操作失誤導(dǎo)致卷丟失，卷內(nèi)虛擬機(jī)無法訪問。管理員對該NetApp存儲進(jìn)行檢查后嘗試恢復(fù)數(shù)據(jù)但是沒有成功。

北亞企安數(shù)據(jù)恢復(fù)——NetApp存儲數(shù)據(jù)恢復(fù)

服務(wù)器數(shù)據(jù)恢復(fù)過程：
1、為防止可能對原始磁盤內(nèi)的原始數(shù)據(jù)造成二次破壞，首先將故障NetApp存儲中的所有磁盤以只讀方式進(jìn)行鏡像備份。
2、分析故障NetApp存儲中磁盤陣列的底層數(shù)據(jù)，根據(jù)底層數(shù)據(jù)元信息確定磁盤陣列中每塊磁盤的盤序及功能（數(shù)據(jù)/校驗(yàn)），確定無離線盤，無需校驗(yàn)信息，剔除掉校驗(yàn)盤。
圖1
3、NetApp存儲使用的文件系統(tǒng)為WAFL，本案例中的NetApp存儲的文件系統(tǒng)采用了高版本模式。填寫好配置文件，使用北亞自主研發(fā)的NetApp解析程序進(jìn)行解析。

北亞企安數(shù)據(jù)恢復(fù)——NetApp存儲數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)——NetApp存儲數(shù)據(jù)恢復(fù)

4、提取完數(shù)據(jù)后，由北亞企安數(shù)據(jù)恢復(fù)工程師對提取數(shù)據(jù)進(jìn)行文件自檢驗(yàn)，檢驗(yàn)文件數(shù)據(jù)過程中發(fā)現(xiàn)數(shù)據(jù)文件異常。進(jìn)行二次分析后發(fā)現(xiàn)部分?jǐn)?shù)據(jù)塊由于指針異常被填充。

北亞企安數(shù)據(jù)恢復(fù)——NetApp存儲數(shù)據(jù)恢復(fù)

此類指針在以往的案例中從未遇見過，沒有現(xiàn)成的數(shù)據(jù)恢復(fù)方案可解決這個(gè)問題，只能將該case移交給北亞企安非常規(guī)業(yè)務(wù)技術(shù)攻關(guān)小組進(jìn)行技術(shù)攻關(guān)。
5、非常規(guī)業(yè)務(wù)技術(shù)攻關(guān)小組分析&測試后得出結(jié)論：此類指針為壓縮占用標(biāo)志，并給出了解壓算法。
6、北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)解壓算法編寫數(shù)據(jù)解壓程序，對提取數(shù)據(jù)進(jìn)行解壓驗(yàn)證。在解壓過程中對出現(xiàn)的異常情況進(jìn)行調(diào)整，不斷完善解壓算法，最終完成了解壓程序的編寫，經(jīng)過驗(yàn)證確認(rèn)程序完整可用。
7、使用解壓程序解壓后的虛擬機(jī)VMDK可正常解析，解析&導(dǎo)出文件。將提取的文件樣本移交給用戶檢驗(yàn)，經(jīng)過用戶方工程師的反復(fù)檢驗(yàn)后一切正常。
8、北亞企安數(shù)據(jù)恢復(fù)工程師繼續(xù)調(diào)整數(shù)據(jù)提取程序，并添加目錄塊解析模塊以及解壓模塊，提取故障NetApp存儲卷內(nèi)所有文件，進(jìn)行批量數(shù)據(jù)恢復(fù)操作。

數(shù)據(jù)驗(yàn)證：
待所有數(shù)據(jù)提取完成后，將數(shù)據(jù)遷移到用戶存儲中進(jìn)行驗(yàn)證，經(jīng)過數(shù)據(jù)恢復(fù)工程師和客戶方工程師的反復(fù)驗(yàn)證，確認(rèn)數(shù)據(jù)完整可用，本次數(shù)據(jù)恢復(fù)工作完成。

審核編輯黃宇