浙江某地客户电话联系说有一台浪潮服务器虚拟机被误删除了,经过与多名IT工程师的沟通,了解了如下信息:浪潮服务器由八块2T的SAS固态硬盘组的raid5阵列,可能是VMware ESXi 7.0管理程序,文件系统可能是VMFS6,虚拟机操作系统是CentOS7,数据磁盘应该采用的是厚置备,没有快照。固态硬盘删除格式化后虽然有可能导致底层扇区清零,但由于组了raid5,在阵列卡管理下不一定会扇区清零,因此判断还是有很大希望能恢复的。
第二天一大早客户坐动车把硬盘送到杭州数据恢复中心来处理,发现是东芝2.5寸的SAS机械硬盘,经过检测是2块600G硬盘组的raid1阵列,6块1.2T硬盘组的raid5阵列。虚拟机被误删除后,又新建了一个新的同名虚拟机,还安装了系统,配置了磁盘。客户取出硬盘前先做了数据迁移备份,但完成后把里面几乎原来所有其他虚拟机删掉了。这样貌似数据是安全了,但对于我们来说存在很多删除的虚拟机,分析起来会有很多干扰。
由于非常着急,客户要求不做镜像备份直接分析恢复,我们先分析raid条带大小及走向等信息,虚拟重组出原始的磁盘阵列,然后对整个磁盘进行虚拟机搜索查找,一共找到了二十多个Linux和Windows的vmdk虚拟磁盘。把所有的Linux分区虚拟磁盘全部恢复出来,再进行数据比对,成功找到了客户描述的那一台删除的虚拟机,100G的系统磁盘和1T的数据磁盘。经过多种方式的核验,数据是正常的,但数据的截止日期却是半年前的。
后期又跟客户进行了沟通,客户回忆说那个时间点做过一次服务器空间扩容。我们判断客户当时并不是直接扩容的,而是在扩容之前做了快照,后面产生的新数据都在快照里,而且也确实分析找到了一个1.5T的快照信息。由于快照被删除以后,索引会被清掉,而且数据会碎片杂乱,没有正常的结构,因此基本无法恢复。最终判断这台虚拟机只能恢复到这个时间点,没法恢复到最新日期,也就意味着近半年的数据丢失了。
服务器是某医院的,虚拟机里都是医院病人的资料数据,虽然不完整,但客户觉得还是有价值的,表示能接受。最后我们手工重建了配置文件,成功修复并启动了虚拟机测试,数据经过客户验证没有问题。无论是企业级的VMware ESXi还是桌面级的VMware Workstation,虚拟机删除了总体来说是非常麻烦的,能否完美恢复数据要考虑多种因素,因此相关人员在操作的时候一定要小心谨慎,以免造成不可逆的数据损失。
