服務(wù)器數(shù)據(jù)恢復(fù)—Isilon存儲(chǔ)集群誤刪除的數(shù)據(jù)恢復(fù)案例

Isilon存儲(chǔ)結(jié)構(gòu)：
Isilon存儲(chǔ)使用的是分布式文件系統(tǒng)OneFS。在Isilon存儲(chǔ)集群里面每個(gè)節(jié)點(diǎn)均為單一的OneFS文件系統(tǒng)，所以Isilon存儲(chǔ)在進(jìn)行橫向擴(kuò)展的同時(shí)不會(huì)影響數(shù)據(jù)的正常使用。Isilon存儲(chǔ)集群所有節(jié)點(diǎn)提供相同的功能，節(jié)點(diǎn)與節(jié)點(diǎn)之間沒(méi)有主備之分。當(dāng)用戶向Isilon存儲(chǔ)集群中存儲(chǔ)文件時(shí)，OneFS文件系統(tǒng)層面將文件劃分為128K的片段分別存放到不同的節(jié)點(diǎn)中，而節(jié)點(diǎn)層面將128K的片段分成8K的小片段分別存放到節(jié)點(diǎn)的不同硬盤(pán)中。用戶文件的Indoe信息、目錄項(xiàng)及數(shù)據(jù)MAP則會(huì)分別存儲(chǔ)在所有節(jié)點(diǎn)中，這樣可以確保用戶不管從哪個(gè)節(jié)點(diǎn)都可以訪問(wèn)到所有數(shù)據(jù)。Isilon存儲(chǔ)在初始化時(shí)會(huì)讓用戶選擇相應(yīng)的存儲(chǔ)冗余模式，不同的冗余模式所提供的數(shù)據(jù)安全級(jí)別也不一樣。下面介紹一個(gè)Isilon存儲(chǔ)數(shù)據(jù)恢復(fù)案例。

北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)

Isilon存儲(chǔ)數(shù)據(jù)恢復(fù)環(huán)境：
該Isilon某型號(hào)存儲(chǔ)有3個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)配置12塊STAT硬盤(pán)。該存儲(chǔ)中數(shù)據(jù)包括vmware虛擬機(jī)（作為WEB服務(wù)器使用，部署有SQL數(shù)據(jù)庫(kù)）和大量視頻文件。vmware虛擬機(jī)通過(guò)NFS協(xié)議共享到ESX主機(jī)，視頻文件通過(guò)CIFS協(xié)議共享給vmware虛擬機(jī)。

北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)

Isilon存儲(chǔ)故障：
某公司工作人員誤操作將Isilon存儲(chǔ)中包括vmware虛擬機(jī)和一些MP4、ASF和TS類型的視頻文件刪除。需要恢復(fù)的數(shù)據(jù)包括vmware虛擬機(jī)和視頻文件，NFS共享的所有數(shù)據(jù)（所有虛擬機(jī)）被刪除而CIFS共享的數(shù)據(jù)沒(méi)有刪除。

Isilon存儲(chǔ)數(shù)據(jù)恢復(fù)過(guò)程：
1、在Isilon的web管理界面中將Isilon正常關(guān)機(jī)。將故障存儲(chǔ)中所有節(jié)點(diǎn)中磁盤(pán)做好標(biāo)記后取出槽位。謹(jǐn)慎起見(jiàn)，由硬件工程師對(duì)所有磁盤(pán)做硬件故障檢測(cè)，經(jīng)過(guò)檢測(cè)沒(méi)有發(fā)現(xiàn)有硬盤(pán)存在硬件故障，都可以正常讀取。將所有磁盤(pán)以只讀方式進(jìn)行扇區(qū)級(jí)全盤(pán)鏡像，鏡像完成后將所有磁盤(pán)按照標(biāo)記還原到原存儲(chǔ)中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對(duì)原始磁盤(pán)數(shù)據(jù)造成二次破壞。

北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)

2、基于鏡像文件分析所有磁盤(pán)底層數(shù)據(jù)。主要分析文件被刪除后，文件Indoe及數(shù)據(jù)MAP是否發(fā)生變化。刪除的虛擬磁盤(pán)文件都在64G或以上，并且存儲(chǔ)中沒(méi)有其他類型的大文件。北亞企安數(shù)據(jù)恢復(fù)工程師編寫(xiě)程序掃描所有文件Indoe，將大小大于或者等于64G的文件的Indoe都掃描出來(lái)。
3、分析掃描出來(lái)的Indoe，找到Indoe中記錄的數(shù)據(jù)MAP位置，發(fā)現(xiàn)其index指向的內(nèi)容已不再是正常數(shù)據(jù)，所有節(jié)點(diǎn)上的Indoe均是同樣的情況。
4、分析Inode，發(fā)現(xiàn)大文件的數(shù)據(jù)MAP會(huì)有多層（樹(shù)結(jié)構(gòu)）,并且數(shù)據(jù)MAP中會(huì)記錄文件的唯一ID，因此可以嘗試找到文件最底層的數(shù)據(jù)MAP。北亞企安數(shù)據(jù)恢復(fù)工程師嘗試對(duì)文件最底層的數(shù)據(jù)MAP做遍歷跟蹤操作，發(fā)現(xiàn)最底層的數(shù)據(jù)MAP果然還在。
5、從文件的Inode中取出文件的唯一ID，然后對(duì)所有符合該ID的數(shù)據(jù)MAP做聚合。根據(jù)數(shù)據(jù)MAP中的VCN號(hào)做排序，發(fā)現(xiàn)每個(gè)文件的前17088項(xiàng)數(shù)據(jù)MAP都不存在，也意味著每個(gè)文件的前17088項(xiàng)數(shù)據(jù)無(wú)法恢復(fù)。
經(jīng)過(guò)換算，發(fā)現(xiàn)實(shí)際上丟失的數(shù)據(jù)MAP項(xiàng)總共才包含不到1GB，刪除的文件全是虛擬機(jī)的vmdk文件，里面全部是NTFS的文件系統(tǒng)。NTFS文件系統(tǒng)的MFT基本都在3G的位置，也就是只需要在每個(gè)vmdk文件的頭部手動(dòng)偽造一個(gè)MBR和DBR就可以解釋vmdk里面的數(shù)據(jù)。
6、對(duì)掃描到的數(shù)據(jù)MAP做解釋，并根據(jù)VCN號(hào)的順序?qū)С鰯?shù)據(jù)，沒(méi)有MAP的情況保留為零。
7、經(jīng)過(guò)不斷測(cè)試，先導(dǎo)出一個(gè)vmdk文件，結(jié)果發(fā)現(xiàn)導(dǎo)出的vmdk文件比實(shí)際情況要小，并且vmdk中MFT的位置也與自身描述不符。隨機(jī)驗(yàn)證了幾個(gè)MPA發(fā)現(xiàn)都能指向數(shù)據(jù)區(qū)，而程序解釋MAP的方式也都沒(méi)有問(wèn)題。所以推測(cè)為文件稀疏！
8、將代碼進(jìn)行調(diào)整后重新導(dǎo)出上一步導(dǎo)出的vmdk文件，這次vmdk文件大小符合實(shí)際大小，且MFT的位置也在相應(yīng)位置。手工偽造一個(gè)MBR，分區(qū)表以及DBR，再用北亞企安自主開(kāi)發(fā)的文件系統(tǒng)解釋工具解釋文件系統(tǒng)，并導(dǎo)出vmdk里面的數(shù)據(jù)庫(kù)及視頻文件。
9、在驗(yàn)證了此vmdk文件中的數(shù)據(jù)庫(kù)及視頻文件沒(méi)問(wèn)題后，批量導(dǎo)出所有vmdk文件，再手工一個(gè)一個(gè)的去修改每個(gè)vmdk文件。

北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)

10、處理完所有數(shù)據(jù)后，用戶方安排工程師進(jìn)行檢測(cè)。經(jīng)過(guò)檢測(cè)，確認(rèn)恢復(fù)出來(lái)的數(shù)據(jù)完整有效，認(rèn)可數(shù)據(jù)恢復(fù)結(jié)果。

審核編輯 黃宇