伺服器資料恢複環境:
Linux作業系統伺服器,EXT4檔案系統。伺服器上部署3台KVM虛拟機:
虛拟機1:主資料庫伺服器
虛拟磁盤:系統盤(qcow2)+資料盤(raw)
檔案系統:EXT4
資料:MySQL資料庫
虛拟機2:備份資料庫伺服器
虛拟磁盤:系統盤(qcow2)+資料盤(raw)
檔案系統:EXT4
資料:MySQL資料庫
虛拟機3:代碼伺服器
虛拟機盤:系統盤(qcow2)+資料盤(raw)
檔案系統:EXT4
資料:程式代碼
伺服器故障:
3台KVM虛拟機被誤操作删除,需要恢複raw格式的磁盤檔案。
伺服器資料恢複過程:
1、将故障伺服器中的所有磁盤編号後取出,以隻讀方式進行全盤鏡像,鏡像完成後将所有磁盤按照編号恢複到原伺服器中,後續的資料分析和資料恢複操作都基于鏡像檔案進行,避免對原始磁盤資料造成二次破壞。
2、基于鏡像檔案分析故障伺服器的EXT4檔案系統,定位被删除KVM虛拟機磁盤檔案的節點位置。
3、擷取磁盤檔案殘留的索引資訊。校驗殘留索引資訊的正确性并修複破壞不嚴重的索引。
擷取的索引資訊:
北亞企安資料恢複——KVM虛拟機資料恢複
4、修複完索引後,解析殘留的各級索引并從KVM虛拟機所在的卷中提取虛拟磁盤檔案。
5、根據虛拟磁盤檔案的提取情況擷取卷中未被索引到的自由空間。
6、校驗提取出的磁盤檔案的正确性與完整性。
7、從自由空間中擷取有效資訊,北亞企安資料恢複工程師嘗試修補虛拟磁盤檔案(如節點,目錄項,資料庫頁等資訊)。
提取出的自由空間:
北亞企安資料恢複——KVM虛拟機資料恢複
伺服器資料恢複結果:
由于部分索引丢失,提取出的虛拟磁盤檔案不完整。
1、針對資料庫檔案有丢失的情況,可以通過從自由空間中擷取到的資料庫頁修補資料庫檔案,但部分頁所在區域被覆寫,隻能盡可能去補頁。
2、針對代碼伺服器中的節點和目錄項丢失的情況,若節點或目錄項有殘留,可以嘗試去補齊節點和目錄項。但是部分檔案的節點和目錄項同時丢失,根據節點和目錄項之間相關聯的特性,這種情況下無法補齊。由于程式代碼檔案不具備一定的規律性,若其資料區丢失則無法補齊。
恢複出的部分目錄結構:
北亞企安資料恢複——KVM虛拟機資料恢複
北亞企安資料恢複——KVM虛拟機資料恢複
資料驗證:
對虛拟磁盤檔案及其中的資料庫檔案盡力修補之後,由使用者方工程師對恢複出來的資料進行驗證。經過反複驗證,雖然有部分資料無法恢複,但重要資料都恢複出來了,資料有效。本次資料恢複工作完成。