Netapp数据恢复—Netapp存储误删除lun的数据恢复案例

简介: 某公司一台服务器中一共有72块SAS硬盘。工作人员误操作删除了十几个lun。需要恢复服务器中的数据。

Netapp数据恢复环境&故障情况:
某公司一台服务器中一共有72块SAS硬盘。
工作人员误操作删除了十几个lun。需要恢复服务器中的数据。

Netapp数据恢复过程:
1、将故障服务器上磁盘编号后取出。由硬件工程师对所有磁盘进行硬件故障检测,未发现有硬盘存在物理坏道和其他硬件故障。将所有硬盘以只读方式做全盘镜像,镜像完成后将磁盘根据编号按照原样还原到原服务器中。后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。

2、服务器数据恢复工程师基于镜像文件分析所有硬盘底层数据,找到盘头位置的超级块,继续分析超级块信息得到磁盘组的起始块信息、磁盘组名称、逻辑组起始块号、raid编号等基本信息。
分析超级块:
1副本.jpg

3、通过分析得知每个数据块占8个扇区,数据块后附加64字节数据块描述信息。北亚企安数据恢复工程师根据这些信息判断出是校验盘的磁盘。恢复数据时需要将校检盘排除在外。
0x10:6字节为aggr_data块号
0x10处为FFFF表示校验块。
校验块描述信息样例:
2副本.jpg

4、根据每块磁盘8号扇区的磁盘信息以及磁盘末尾的RAID盘序表确定盘序。
首先确定各个磁盘所属aggr组,然后再判断组内盘序。数据指针跳转时不考虑校验盘,所以只取得数据盘的盘序即可。
aggr_raid(磁盘靠近尾部) 根据10H处的VCN块号判断磁盘组内各盘的顺序。
分析盘序表:
3副本.jpg

Tips:Netapp的节点分布在数量众多的数据块内,在数据块内又被统一组织为节点组。每个节点组的前64字节记录一些系统数据,然后用192字节为一项来记录各个文件节点。根据用户级别可分为两类:“MBFP”系统文件节点和“MBFI”用户文件节点,在数据恢复时一般只取“MBFI”节点组即可。
服务器节点样例图:
4副本.jpg

头部信息64字节
解析如下:(此头部为数据文件的节点文件块头部,大小为64字节)
标志,常量(“MBFP”为元文件的节点标志,“MBFI”为用户文件的节点标志)
根据更新序列值获取到最新节点。

5、解析节点中节点类型、逻辑块号、文件数量、文件大小、所占块数量、数据指针。获取节点在节点文件中的逻辑块号,从0开始计数。

6、获取目录项,并根据其节点编号,找到对应节点。
获取服务器内对应节点截图:
5副本.jpg

7、使用北亚企安自主开发的程序提取服务器数据。
a、扫描节点信息。
扫描服务器节点信息:
6副本.jpg

节点扫描类:
7副本.jpg

节点扫描程序完整流程:
8副本.jpg

在循环扫描完毕之后会将所有扫描到的MBFP、MBFI和DOC数据块分别写入到三个文件内,用于后续处理。
b、将节点信息导入到数据库。
此模块主要负责将ScanNode扫描得到的MBFI和MBFP、Dir存入数据库以备后续使用。
MBFI导入数据库整体流程:
9副本.jpg

函数执行完毕后可以查看数据库。
节点导入信息:
10副本.jpg

Netapp在更改inode节点时不会直接覆盖而是重新分配inode进行写入。单个文件的节点node_uid唯一不变,mbfi_usn会随着节点的变化而增大(正常情况下提取某个文件时使用usn最大的节点)。一般情况下存储划分出的单个节点会作为LUN映射到服务器使用,根据file_size可以确定这个文件的大小,按照文件大小分组后再选取usn最大值的节点,跳转到MBFI文件的offset值偏移位置,取出节点。
节点样例图示:
11副本.jpg

c、提取文件
在获取到要提取的文件的Node之后,开始提取块设备文件。
提取块设备文件:
12副本.jpg

初始化完毕后,开始提取文件的各级MAP。本次提取过程中文件大小均大于1T,MAP层级为4,所以需要提取4次。第一级MAP默认只占用1个块,所以在程序内直接提取,后三级MAP在GetAllMap函数内进行提取。通过块号计算数据块位置时,由于NetApp使用JBOD组织LVM,直接用块号除以每块磁盘上的块数就可以得到当前块所在的磁盘序号(计算机整数除法,丢弃小数邠);再使用块号取余块数,得到数据块在此磁盘上的物理块号,物理块号乘以块大小,得到数据块偏移位置。

8、块设备文件系统解析
a、本案例中的块设备5T大小的lun使用的是aix小机的jfs2文件系统。因此要解析jfs2文件系统,提取里面的数据库备份文件。解析lvm。
7扇区记录lvm描述信息,获取pv大小和pv序号。
类似找到vg描述区,获取lv数和pv数,找到pv描述区,解析pp序号和pp数。
解析文件系统块信息:
13副本.jpg

LV类型及LV挂载信息区域:
14副本.jpg

b、解析8个1T大小的lun组成的oralce ASM文件系统,提取其中的数据库文件。
添加8个lT大小的lun。
15副本.jpg

解析ASM文件系统,提取出数据库文件。
16副本.jpg

9、数据恢复工程师对恢复出来的数据进行检测后没有发现异常。让用户方工程师进行验证,经过验证确认恢复出来的数据完整有效。本次netapp数据恢复工作完成。

相关文章
|
8月前
|
存储 数据挖掘 Unix
虚拟机数据恢复—ESXI因断电断连存储?实战案例教你快速恢复数据
一台服务器上部署esxi虚拟化平台。上层采用通过FreeNAS构建的iSCSI方式FCSAN功能,FreeNAS层采用UFS2文件系统。 esxi虚拟化系统有3台虚拟机。其中一台虚拟机采用FreeBSD系统,存储的是数据库文件;另外一台台虚拟机存储网站数据;第三台虚拟机安装的Windows server操作系统,存储的是数据库数据和工作程序代码。
|
5月前
|
人工智能 缓存 运维
2026年阿里云上OpenClaw从0到1搭建多 Agent 团队协作系统实战指南,执行效率提升10倍以上
在AI工具从“单点能力”向“系统协作”进化的今天,OpenClaw多Agent系统凭借“分工协作、自动拆解、实时联动”的核心优势,彻底改变了AI的使用逻辑——它不再是单打独斗的工具,而是能组成“数字战队”的协作系统,让复杂任务的执行效率提升10倍以上。
3293 8
|
2月前
|
测试技术 API 数据处理
Claude API 接入方案解析:国内业务落地要关注哪些限制
Claude API 的基础接入并不复杂,但企业落地不能只看 Demo。模型版本、地区限制、网络链路、限流策略和成本治理,都会影响最终稳定性。
961 7
|
8月前
|
机器学习/深度学习 人工智能 编解码
数字人平台技术、场景应用优势
数字人企业正引领技术革命,融合AI、CG与NLP,打造虚实交互的“数字生命体”,从效率提升到体验升级,重塑人机共生未来。
|
8月前
|
人工智能 前端开发
会议纪要背后的秘密:好的纪要能让会议减少一半
会议开完责任不清、决策模糊?本文分享一个会议纪要AI生成指令,能从混乱的会议讨论中提取决策事项、分配责任人、明确时间节点。支持DeepSeek、通义千问等国产AI,15分钟生成结构完整的专业纪要,把口头约定变成书面契约,让团队协作更透明高效。
879 13
|
8月前
|
人工智能 数据安全/隐私保护
深度解读 | 变化中的1688,所有运营动作,都应回归这3个要点!
面对1688持续的规则调整与业务更新,许多1688运营感到措手不及——旧的运营逻辑尚未理清,新的变化又接踵而至。在这种快速迭代的环境中,该如何找到确定性方向?其实,万变不离其宗,只要抓住以下几个核心要点,就能在变化中稳住阵脚,找到突破路径。
|
8月前
|
自然语言处理 供应链 数据可视化
跨境卖家如何破解黑五发货噩梦,从痛点拆解到全景方案及案例验证
黑五旺季订单暴增,跨境卖家却面临排仓率78%、平均延误7.2天、成本飙升、合规风险等“后遗症”。本文结合行业数据与实战案例,深入剖析订单积压、物流拥堵、多平台协同难等五大痛点,揭示供应链失衡、物流单一、技术滞后等深层原因,提出“科学备货+多元物流+智能工具”破局方案,并分享新菲特、京东物流等成功实践,助力卖家借助实在Agent等智能自动化工具实现高效履约,打赢黑五发货攻坚战。
399 2
|
8月前
|
人工智能 算法 安全
所谓“十大GEO公司第一名”靠不靠谱?
AI搜索时代,GEO成流量新战场。各类“TOP1”宣传泛滥,实则多为算法漏洞投机者。企业应警惕虚假头衔,关注技术实力、方法论与案例真实性,选择真正具备研发能力的GEO服务商,构建长期数字竞争力。
|
8月前
|
Web App开发 安全 搜索推荐
谷歌Chrome“纯净无广”的手机浏览器!,浏览器中的天花版
谷歌Chrome安卓版,纯净无广告,启动快、无弹窗,支持无痕浏览,权限透明,全球超10亿下载,流畅安全,堪称手机浏览器天花板,推荐体验!
841 1
|
9月前
|
人工智能 自然语言处理 架构师
智能体来了:AI时代的下一个风口,你准备好了吗?
AI智能体时代已至,从技术变革到职业重塑,正催生全新机遇。“智能体来了”作为国内领先AI职业教育平台,携手顶尖专家,推出覆盖青少年、大学生、企业家的实战课程,助力零基础学员成为智能体创作者。通过“理论+实战+项目孵化+就业直通”模式,手把手教你打造专属智能体IP,掌握AI时代核心竞争力。现已发布“百事通智能体”等实训案例,支持多平台部署。结业获认证证书,对接高薪岗位,赋能个人与企业抢占AI红利。智能体不是未来,是现在。你,准备好了吗?(239字)

热门文章

最新文章