Isilon存儲結構：
Isilon存儲使用的是分布式文件系統(tǒng)OneFS。在Isilon存儲集群里面每個節(jié)點均為單一的OneFS文件系統(tǒng)，所以Isilon存儲在進行橫向擴展的同時不會影響數(shù)據(jù)的正常使用。Isilon存儲集群所有節(jié)點提供相同的功能，節(jié)點與節(jié)點之間沒有主備之分。當用戶向Isilon存儲集群中存儲文件時，OneFS文件系統(tǒng)層面將文件劃分為128K的片段分別存放到不同的節(jié)點中，而節(jié)點層面將128K的片段分成8K的小片段分別存放到節(jié)點的不同硬盤中。用戶文件的Indoe信息、目錄項及數(shù)據(jù)MAP則會分別存儲在所有節(jié)點中，這樣可以確保用戶不管從哪個節(jié)點都可以訪問到所有數(shù)據(jù)。Isilon存儲在初始化時會讓用戶選擇相應的存儲冗余模式，不同的冗余模式所提供的數(shù)據(jù)安全級別也不一樣。下面介紹一個Isilon存儲數(shù)據(jù)恢復案例。

北亞企安數(shù)據(jù)恢復—OneFS數(shù)據(jù)恢復

Isilon存儲數(shù)據(jù)恢復環(huán)境：
該Isilon某型號存儲有3個節(jié)點，每個節(jié)點配置12塊STAT硬盤。該存儲中數(shù)據(jù)包括vmware虛擬機（作為WEB服務器使用，部署有SQL數(shù)據(jù)庫）和大量視頻文件。vmware虛擬機通過NFS協(xié)議共享到ESX主機，視頻文件通過CIFS協(xié)議共享給vmware虛擬機。

北亞企安數(shù)據(jù)恢復—OneFS數(shù)據(jù)恢復

Isilon存儲故障：
某公司工作人員誤操作將Isilon存儲中包括vmware虛擬機和一些MP4、ASF和TS類型的視頻文件刪除。需要恢復的數(shù)據(jù)包括vmware虛擬機和視頻文件，NFS共享的所有數(shù)據(jù)（所有虛擬機）被刪除而CIFS共享的數(shù)據(jù)沒有刪除。

Isilon存儲數(shù)據(jù)恢復過程：
1、在Isilon的web管理界面中將Isilon正常關機。將故障存儲中所有節(jié)點中磁盤做好標記后取出槽位。謹慎起見，由硬件工程師對所有磁盤做硬件故障檢測，經(jīng)過檢測沒有發(fā)現(xiàn)有硬盤存在硬件故障，都可以正常讀取。將所有磁盤以只讀方式進行扇區(qū)級全盤鏡像，鏡像完成后將所有磁盤按照標記還原到原存儲中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。

北亞企安數(shù)據(jù)恢復—OneFS數(shù)據(jù)恢復

2、基于鏡像文件分析所有磁盤底層數(shù)據(jù)。主要分析文件被刪除后，文件Indoe及數(shù)據(jù)MAP是否發(fā)生變化。刪除的虛擬磁盤文件都在64G或以上，并且存儲中沒有其他類型的大文件。北亞企安數(shù)據(jù)恢復工程師編寫程序掃描所有文件Indoe，將大小大于或者等于64G的文件的Indoe都掃描出來。
3、分析掃描出來的Indoe，找到Indoe中記錄的數(shù)據(jù)MAP位置，發(fā)現(xiàn)其index指向的內容已不再是正常數(shù)據(jù)，所有節(jié)點上的Indoe均是同樣的情況。
4、分析Inode，發(fā)現(xiàn)大文件的數(shù)據(jù)MAP會有多層（樹結構）,并且數(shù)據(jù)MAP中會記錄文件的唯一ID，因此可以嘗試找到文件最底層的數(shù)據(jù)MAP。北亞企安數(shù)據(jù)恢復工程師嘗試對文件最底層的數(shù)據(jù)MAP做遍歷跟蹤操作，發(fā)現(xiàn)最底層的數(shù)據(jù)MAP果然還在。
5、從文件的Inode中取出文件的唯一ID，然后對所有符合該ID的數(shù)據(jù)MAP做聚合。根據(jù)數(shù)據(jù)MAP中的VCN號做排序，發(fā)現(xiàn)每個文件的前17088項數(shù)據(jù)MAP都不存在，也意味著每個文件的前17088項數(shù)據(jù)無法恢復。
經(jīng)過換算，發(fā)現(xiàn)實際上丟失的數(shù)據(jù)MAP項總共才包含不到1GB，刪除的文件全是虛擬機的vmdk文件，里面全部是NTFS的文件系統(tǒng)。NTFS文件系統(tǒng)的MFT基本都在3G的位置，也就是只需要在每個vmdk文件的頭部手動偽造一個MBR和DBR就可以解釋vmdk里面的數(shù)據(jù)。
6、對掃描到的數(shù)據(jù)MAP做解釋，并根據(jù)VCN號的順序導出數(shù)據(jù)，沒有MAP的情況保留為零。
7、經(jīng)過不斷測試，先導出一個vmdk文件，結果發(fā)現(xiàn)導出的vmdk文件比實際情況要小，并且vmdk中MFT的位置也與自身描述不符。隨機驗證了幾個MPA發(fā)現(xiàn)都能指向數(shù)據(jù)區(qū)，而程序解釋MAP的方式也都沒有問題。所以推測為文件稀疏！
8、將代碼進行調整后重新導出上一步導出的vmdk文件，這次vmdk文件大小符合實際大小，且MFT的位置也在相應位置。手工偽造一個MBR，分區(qū)表以及DBR，再用北亞企安自主開發(fā)的文件系統(tǒng)解釋工具解釋文件系統(tǒng)，并導出vmdk里面的數(shù)據(jù)庫及視頻文件。
9、在驗證了此vmdk文件中的數(shù)據(jù)庫及視頻文件沒問題后，批量導出所有vmdk文件，再手工一個一個的去修改每個vmdk文件。

北亞企安數(shù)據(jù)恢復—OneFS數(shù)據(jù)恢復

10、處理完所有數(shù)據(jù)后，用戶方安排工程師進行檢測。經(jīng)過檢測，確認恢復出來的數(shù)據(jù)完整有效，認可數(shù)據(jù)恢復結果。

審核編輯 黃宇