Isilon存儲結(jié)構(gòu):
Isilon存儲使用的是分布式文件系統(tǒng)OneFS。在Isilon存儲集群里面每個節(jié)點(diǎn)均為單一的OneFS文件系統(tǒng),所以Isilon存儲在進(jìn)行橫向擴(kuò)展的同時不會影響數(shù)據(jù)的正常使用。Isilon存儲集群所有節(jié)點(diǎn)提供相同的功能,節(jié)點(diǎn)與節(jié)點(diǎn)之間沒有主備之分。當(dāng)用戶向Isilon存儲集群中存儲文件時,OneFS文件系統(tǒng)層面將文件劃分為128K的片段分別存放到不同的節(jié)點(diǎn)中,而節(jié)點(diǎn)層面將128K的片段分成8K的小片段分別存放到節(jié)點(diǎn)的不同硬盤中。用戶文件的Indoe信息、目錄項(xiàng)及數(shù)據(jù)MAP則會分別存儲在所有節(jié)點(diǎn)中,這樣可以確保用戶不管從哪個節(jié)點(diǎn)都可以訪問到所有數(shù)據(jù)。Isilon存儲在初始化時會讓用戶選擇相應(yīng)的存儲冗余模式,不同的冗余模式所提供的數(shù)據(jù)安全級別也不一樣。下面介紹一個Isilon存儲數(shù)據(jù)恢復(fù)案例。
北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)
Isilon存儲數(shù)據(jù)恢復(fù)環(huán)境:
該Isilon某型號存儲有3個節(jié)點(diǎn),每個節(jié)點(diǎn)配置12塊STAT硬盤。該存儲中數(shù)據(jù)包括vmware虛擬機(jī)(作為WEB服務(wù)器使用,部署有SQL數(shù)據(jù)庫)和大量視頻文件。vmware虛擬機(jī)通過NFS協(xié)議共享到ESX主機(jī),視頻文件通過CIFS協(xié)議共享給vmware虛擬機(jī)。
北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)
Isilon存儲故障:
某公司工作人員誤操作將Isilon存儲中包括vmware虛擬機(jī)和一些MP4、ASF和TS類型的視頻文件刪除。需要恢復(fù)的數(shù)據(jù)包括vmware虛擬機(jī)和視頻文件,NFS共享的所有數(shù)據(jù)(所有虛擬機(jī))被刪除而CIFS共享的數(shù)據(jù)沒有刪除。
Isilon存儲數(shù)據(jù)恢復(fù)過程:
1、在Isilon的web管理界面中將Isilon正常關(guān)機(jī)。將故障存儲中所有節(jié)點(diǎn)中磁盤做好標(biāo)記后取出槽位。謹(jǐn)慎起見,由硬件工程師對所有磁盤做硬件故障檢測,經(jīng)過檢測沒有發(fā)現(xiàn)有硬盤存在硬件故障,都可以正常讀取。將所有磁盤以只讀方式進(jìn)行扇區(qū)級全盤鏡像,鏡像完成后將所有磁盤按照標(biāo)記還原到原存儲中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行,避免對原始磁盤數(shù)據(jù)造成二次破壞。
北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)
2、基于鏡像文件分析所有磁盤底層數(shù)據(jù)。主要分析文件被刪除后,文件Indoe及數(shù)據(jù)MAP是否發(fā)生變化。刪除的虛擬磁盤文件都在64G或以上,并且存儲中沒有其他類型的大文件。北亞企安數(shù)據(jù)恢復(fù)工程師編寫程序掃描所有文件Indoe,將大小大于或者等于64G的文件的Indoe都掃描出來。
3、分析掃描出來的Indoe,找到Indoe中記錄的數(shù)據(jù)MAP位置,發(fā)現(xiàn)其index指向的內(nèi)容已不再是正常數(shù)據(jù),所有節(jié)點(diǎn)上的Indoe均是同樣的情況。
4、分析Inode,發(fā)現(xiàn)大文件的數(shù)據(jù)MAP會有多層(樹結(jié)構(gòu)),并且數(shù)據(jù)MAP中會記錄文件的唯一ID,因此可以嘗試找到文件最底層的數(shù)據(jù)MAP。北亞企安數(shù)據(jù)恢復(fù)工程師嘗試對文件最底層的數(shù)據(jù)MAP做遍歷跟蹤操作,發(fā)現(xiàn)最底層的數(shù)據(jù)MAP果然還在。
5、從文件的Inode中取出文件的唯一ID,然后對所有符合該ID的數(shù)據(jù)MAP做聚合。根據(jù)數(shù)據(jù)MAP中的VCN號做排序,發(fā)現(xiàn)每個文件的前17088項(xiàng)數(shù)據(jù)MAP都不存在,也意味著每個文件的前17088項(xiàng)數(shù)據(jù)無法恢復(fù)。
經(jīng)過換算,發(fā)現(xiàn)實(shí)際上丟失的數(shù)據(jù)MAP項(xiàng)總共才包含不到1GB,刪除的文件全是虛擬機(jī)的vmdk文件,里面全部是NTFS的文件系統(tǒng)。NTFS文件系統(tǒng)的MFT基本都在3G的位置,也就是只需要在每個vmdk文件的頭部手動偽造一個MBR和DBR就可以解釋vmdk里面的數(shù)據(jù)。
6、對掃描到的數(shù)據(jù)MAP做解釋,并根據(jù)VCN號的順序?qū)С鰯?shù)據(jù),沒有MAP的情況保留為零。
7、經(jīng)過不斷測試,先導(dǎo)出一個vmdk文件,結(jié)果發(fā)現(xiàn)導(dǎo)出的vmdk文件比實(shí)際情況要小,并且vmdk中MFT的位置也與自身描述不符。隨機(jī)驗(yàn)證了幾個MPA發(fā)現(xiàn)都能指向數(shù)據(jù)區(qū),而程序解釋MAP的方式也都沒有問題。所以推測為文件稀疏!
8、將代碼進(jìn)行調(diào)整后重新導(dǎo)出上一步導(dǎo)出的vmdk文件,這次vmdk文件大小符合實(shí)際大小,且MFT的位置也在相應(yīng)位置。手工偽造一個MBR,分區(qū)表以及DBR,再用北亞企安自主開發(fā)的文件系統(tǒng)解釋工具解釋文件系統(tǒng),并導(dǎo)出vmdk里面的數(shù)據(jù)庫及視頻文件。
9、在驗(yàn)證了此vmdk文件中的數(shù)據(jù)庫及視頻文件沒問題后,批量導(dǎo)出所有vmdk文件,再手工一個一個的去修改每個vmdk文件。
北亞企安數(shù)據(jù)恢復(fù)—OneFS數(shù)據(jù)恢復(fù)
10、處理完所有數(shù)據(jù)后,用戶方安排工程師進(jìn)行檢測。經(jīng)過檢測,確認(rèn)恢復(fù)出來的數(shù)據(jù)完整有效,認(rèn)可數(shù)據(jù)恢復(fù)結(jié)果。
審核編輯 黃宇
-
存儲
+關(guān)注
關(guān)注
13文章
4265瀏覽量
85675 -
服務(wù)器
+關(guān)注
關(guān)注
12文章
9024瀏覽量
85186 -
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
550瀏覽量
17390
發(fā)布評論請先 登錄
相關(guān)推薦
評論