太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功

虚拟机安全吗? 今天有这么一例。跟大家分享一下

设备情况:浪潮服务器 NF5280M4+浪潮存储AS5300存储柜

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

该存储由HGST-sas1.2tb*10快盘组成,由于客户公司技术维护操作失误导致存储连接不上,具体操作该技术已经记不清楚了。下面我们具体分析一下

我们跟客户沟通后得知该服务器安装EXSi5.5系统环境,连接存储。里面跑的5个虚拟机,其中有一个虚机是该企业的核心代码数据,不可丢失,运行CentOS6.5环境。

首先为了数据安全,我们把存储磁盘挂载到我们的镜像服务器环境中做了镜像操作以及物理测试(不会在客户的设备上面直接操作)

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

分析发现前面的分区信息都已经破坏,通过分析数据区确定了该存储是由的9盘位RAID5结构,剩余一盘作为热备盘使用。RAID参数为右异步,快大小256sec,开始扇区为0

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

 重组raid后,通过UFS软件解析VMFS文件系统失败,通过winhex分析发现前面关键信息已经破坏。通过Winhex分析发现1Gb存在FATNTFS的分区信息,解析发现里面有U盘大白菜PE系统,初步怀疑里面装进去个winpe引导系统.通过再次跟客户技术沟通,该技术表示装系统的时候用WINPE引导服务器后,可以识别的服务器下还挂载这一个8.2TB的磁盘,但是显示问号(?),再无做过其他操作,其实结合目前的分析结果来看,客户方技术的描述以及无关紧要了。

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

现在整个vmfs文件系统已经破坏,各个虚拟机的指针信息已经丢失,给恢复增加了难度。

再次跟客户沟通后确认了虚拟机大小(300G左右)以及环境后(centos),开始编写脚本在8.2TB空间内定位该虚拟机的存储位置,手工截取虚机碎片,合并制作xxx-flat.vmdk文件。

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

因为只有VMDK数据文件,虚拟机环境是无法正常加载的。于是我们新建一个跟同配置虚机,把制作好的VMKD文件上传到我们新建虚拟机测试平台打开电源顺利启动

《太原某高新企业ESXi5.5虚拟机VMDK文件丢失恢复成功》

客户远程验证数据代码无误,恢复顺利完成。

点赞