众所周知,虚拟机(Virtual Machine)是指一种特殊的软件,可以在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件。在计算机科学中,虚拟机是指可以像真实机器一样运行程序的计算机的软件实现。 还原快照就相当于删除数据,也就意味着底层的存储空间会被释放一部分,为了不让这部分空间重用,需要将连接这台存储的所有虚拟机都关掉,如果有重要的虚拟机不能长时间宕机,则需要迁移到别的EXSI上,而用户这里有一台虚拟机很重要,不能关机,只能做热迁移。
天津市一家大型公司的一台ESXi 5.0 服务器误删除了3台虚拟机,被删除的虚拟机数据非常重要,对该公司有着重大的影响,虽然数据有备份,但已是1个多月前的备份,缺失了过多的数据,备份无太大的意义。在电话中通过详细的询问得知,虚拟化系统为ESXi 5.0,存储只有一个LUN,LUN大小为1.2T,文件系统为 VMFS5,LUN上存有6台虚拟机,其Windows Server 2003 虚拟机3台,Linux虚拟机3台,被删除的虚拟机虚拟磁盘大小均为200G,都是使用精简模式的虚拟磁盘。
Vmware的快照其实就是一个文件,还原快照也就意味着是删掉一个文件。而在Vmfs文件系统中,删除一个文件只会删掉文件的索引项,而不会删掉文件的实际数据以及指向数据的MAP,而我们要做的就是提取整个vmfs文件系统中空闲的MAP,然后在空闲的MAP中找到一个符合快照文件头结构的MAP,然后根据快照文件的结构,提取快照文件剩下的碎片,提取完快照文件后,需要将快照文件和原vmdk合并生成新的vmdk。新的vmdk中包涵了所有的数据,接下来挂载新的vmdk解释里面的数据即可。因为是使用精简模式的虚拟磁盘,造成数据恢复的难度增大,所以用数据恢复软件根本无法恢复其数据,而且一般的数据恢复软件也无法恢复VMFS文件系统中的数据,vmware的热迁移则是需要建立N多个快照来完成迁移的,这给后期的恢复快照工作带来很多麻烦,迁移完所有虚拟机后就需要对底层的EVA存储做镜像了,只是需要等待的时间会长点。信胜数据恢复中心早在多年前便意识到了虚拟化是未来的发展趋势,便早已对VMWare 服务器虚拟化系统的数据恢复做彻底研究,现已对ESX/ESXi 存储底层结构了如指掌,对VMWare ESX Server 3.x/4.x/5.x 系列的数据恢复积累了大量的经验和多起成功案例, 在处理类似故障问题时显得游刃有余。
人工对虚拟磁盘进行分析,由于原本的索引块被占用,造成引擎丢失,只能人工对VMFS底层进行跟踪,重构出部分原始数据块的分布位置,进行恢复和合并,最后覆盖到恢复出来虚拟磁盘中,经过验证,数据虽然略有缺失,但是没有多大影响,数据总算有惊无险的恢复了。
