VSAN數(shù)據(jù)恢復(fù)環(huán)境&故障：
VMware VSAN超融合架構(gòu)，11臺(tái)服務(wù)器節(jié)點(diǎn)。每臺(tái)服務(wù)器節(jié)點(diǎn)上創(chuàng)建1個(gè)磁盤組，磁盤組包括1塊PCIe固態(tài)硬盤（作為緩存盤）和8-10塊SSD（作為數(shù)據(jù)盤），組成VSAN存儲(chǔ)空間來存放虛擬機(jī)文件。啟用了去重和壓縮功能。
一臺(tái)服務(wù)器節(jié)點(diǎn)上的一塊PCIE緩存盤出現(xiàn)故障，導(dǎo)致VSAN邏輯架構(gòu)問題。2臺(tái)虛擬機(jī)磁盤組件出現(xiàn)問題，虛擬機(jī)無法正常使用。

VSAN數(shù)據(jù)恢復(fù)過程：
1、將VSAN的節(jié)點(diǎn)服務(wù)器上所有硬盤標(biāo)記后拆出，經(jīng)過硬件工程師的檢測后沒有發(fā)現(xiàn)硬盤存在硬件故障，可以正常讀取。將所有硬盤以只讀方式進(jìn)行扇區(qū)級全盤鏡像。鏡像完成后將所有磁盤按照原樣還原到原服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像進(jìn)行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
2、由于VSAN版本更新以及開啟了壓縮重刪，所以底層結(jié)構(gòu)差異較大。這種情況下恢復(fù)數(shù)據(jù)的難點(diǎn)在于壓縮和重刪的算法。針對開啟了壓縮和重刪的VSAN的數(shù)據(jù)恢復(fù)需要大量測試進(jìn)行數(shù)據(jù)碰撞和大量代碼測試其算法。
3、基于鏡像文件掃描分析。根據(jù)底層記錄的磁盤ID等信息，北亞企安數(shù)據(jù)恢復(fù)工程師整理記錄節(jié)點(diǎn)、磁盤組、緩存盤、數(shù)據(jù)盤等信息和對應(yīng)關(guān)系。
4、嘗試在底層搜索&分析組件信息。信息被壓縮導(dǎo)致無法分析。
5、VSAN集群開啟壓縮重刪會(huì)導(dǎo)致底層數(shù)據(jù)結(jié)構(gòu)發(fā)生很大變化。搭建相同版本的環(huán)境進(jìn)行大量的測試進(jìn)行數(shù)據(jù)碰撞來研究壓縮重刪的算法和存儲(chǔ)結(jié)構(gòu)。
6、由于不確定采用了何種壓縮算法，所以北亞企安數(shù)據(jù)恢復(fù)工程師只能通過大量規(guī)律數(shù)據(jù)進(jìn)行逆向推理，確定壓縮算法后解壓縮。
壓縮塊：

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

解壓后：

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

7、通過大量數(shù)據(jù)測試，確定壓縮位圖位置、記錄方式、位圖索引塊大小等。獲取位圖索引方式，從而解析重刪位圖。

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

8、VSAN中所有文件均以對象的方式存在，每個(gè)對象被分割為多個(gè)組件。北亞企安數(shù)據(jù)恢復(fù)工程師編寫程序掃描所有組件信息。組件信息中記錄了組件ID和該組件所屬對象的對象ID等信息。根據(jù)組件中的runlist找到每個(gè)數(shù)據(jù)塊和該塊在組件的邏輯位置，北亞企安數(shù)據(jù)恢復(fù)工程師編寫程序提取完整組件。

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

9、根據(jù)組件信息中的描述信息，將組件按照描述信息中記錄的RAID級別和各個(gè)組件在對象中的邏輯位置進(jìn)行組合，拼接出完整的對象（vmdk文件）。可能每個(gè)組件都會(huì)有部分?jǐn)?shù)據(jù)留在緩存盤上，并沒有寫入到數(shù)據(jù)盤中，于是北亞企安數(shù)據(jù)恢復(fù)工程師編寫程序?qū)⒕彺姹P上的數(shù)據(jù)刷新到對應(yīng)的組件或?qū)ο笾小?/p>

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—VSAN數(shù)據(jù)恢復(fù)

10、由于本案例中虛擬磁盤使用DFS分布式文件系統(tǒng)并且開啟了重刪，無法直接提取數(shù)據(jù)。新建DFS環(huán)境，將合并完成的虛擬磁盤掛在到該環(huán)境下。掛載后可直接訪問數(shù)據(jù)。

11、用戶方對恢復(fù)出來的數(shù)據(jù)進(jìn)行檢測后，確認(rèn)恢復(fù)出來的數(shù)據(jù)完整有效，認(rèn)可數(shù)據(jù)恢復(fù)結(jié)果。

審核編輯 黃宇