服务器数据恢复—Isilon存储集群误删除的数据恢复案例-电子发烧友网

Isilon存储结构：
Isilon存储使用的是分布式文件系统OneFS。在Isilon存储集群里面每个节点均为单一的OneFS文件系统，所以Isilon存储在进行横向扩展的同时不会影响数据的正常使用。Isilon存储集群所有节点提供相同的功能，节点与节点之间没有主备之分。当用户向Isilon存储集群中存储文件时，OneFS文件系统层面将文件划分为128K的片段分别存放到不同的节点中，而节点层面将128K的片段分成8K的小片段分别存放到节点的不同硬盘中。用户文件的Indoe信息、目录项及数据MAP则会分别存储在所有节点中，这样可以确保用户不管从哪个节点都可以访问到所有数据。Isilon存储在初始化时会让用户选择相应的存储冗余模式，不同的冗余模式所提供的数据安全级别也不一样。下面介绍一个Isilon存储数据恢复案例。

北亚企安数据恢复—OneFS数据恢复

Isilon存储数据恢复环境：
该Isilon某型号存储有3个节点，每个节点配置12块STAT硬盘。该存储中数据包括vmware虚拟机（作为WEB服务器使用，部署有SQL数据库）和大量视频文件。vmware虚拟机通过NFS协议共享到ESX主机，视频文件通过CIFS协议共享给vmware虚拟机。

北亚企安数据恢复—OneFS数据恢复

Isilon存储故障：
某公司工作人员误操作将Isilon存储中包括vmware虚拟机和一些MP4、ASF和TS类型的视频文件删除。需要恢复的数据包括vmware虚拟机和视频文件，NFS共享的所有数据（所有虚拟机）被删除而CIFS共享的数据没有删除。

Isilon存储数据恢复过程：
1、在Isilon的web管理界面中将Isilon正常关机。将故障存储中所有节点中磁盘做好标记后取出槽位。谨慎起见，由硬件工程师对所有磁盘做硬件故障检测，经过检测没有发现有硬盘存在硬件故障，都可以正常读取。将所有磁盘以只读方式进行扇区级全盘镜像，镜像完成后将所有磁盘按照标记还原到原存储中。后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。

北亚企安数据恢复—OneFS数据恢复

2、基于镜像文件分析所有磁盘底层数据。主要分析文件被删除后，文件Indoe及数据MAP是否发生变化。删除的虚拟磁盘文件都在64G或以上，并且存储中没有其他类型的大文件。北亚企安数据恢复工程师编写程序扫描所有文件Indoe，将大小大于或者等于64G的文件的Indoe都扫描出来。
3、分析扫描出来的Indoe，找到Indoe中记录的数据MAP位置，发现其index指向的内容已不再是正常数据，所有节点上的Indoe均是同样的情况。
4、分析Inode，发现大文件的数据MAP会有多层（树结构）,并且数据MAP中会记录文件的唯一ID，因此可以尝试找到文件最底层的数据MAP。北亚企安数据恢复工程师尝试对文件最底层的数据MAP做遍历跟踪操作，发现最底层的数据MAP果然还在。
5、从文件的Inode中取出文件的唯一ID，然后对所有符合该ID的数据MAP做聚合。根据数据MAP中的VCN号做排序，发现每个文件的前17088项数据MAP都不存在，也意味着每个文件的前17088项数据无法恢复。
经过换算，发现实际上丢失的数据MAP项总共才包含不到1GB，删除的文件全是虚拟机的vmdk文件，里面全部是NTFS的文件系统。NTFS文件系统的MFT基本都在3G的位置，也就是只需要在每个vmdk文件的头部手动伪造一个MBR和DBR就可以解释vmdk里面的数据。
6、对扫描到的数据MAP做解释，并根据VCN号的顺序导出数据，没有MAP的情况保留为零。
7、经过不断测试，先导出一个vmdk文件，结果发现导出的vmdk文件比实际情况要小，并且vmdk中MFT的位置也与自身描述不符。随机验证了几个MPA发现都能指向数据区，而程序解释MAP的方式也都没有问题。所以推测为文件稀疏！
8、将代码进行调整后重新导出上一步导出的vmdk文件，这次vmdk文件大小符合实际大小，且MFT的位置也在相应位置。手工伪造一个MBR，分区表以及DBR，再用北亚企安自主开发的文件系统解释工具解释文件系统，并导出vmdk里面的数据库及视频文件。
9、在验证了此vmdk文件中的数据库及视频文件没问题后，批量导出所有vmdk文件，再手工一个一个的去修改每个vmdk文件。