VMwareESXiServer虚拟机数据恢复详细过程

　　7月的某天，北京还在反常的下着生猛的雨，街道上一片萧条，只有少数车辆肆无忌惮的辗水而过。而在北京北亚数据恢复中心却是另一番忙碌的景象，北京某高校一机房渗水，导致多台存储和服务器无法正常工作，要命的是有8组RAID计100多块硬盘损坏，而此时北亚数据恢复中心正在抢修其数据。

　　这时，电话突然响了起来，原来是福建省某市一大型公司的一台ESXi 5.0 服务器误删除了3台虚拟机，被删除的虚拟机数据极其得要，对该公司有决定性的影响，虽然数据有备份，但已是1个多月前的备份，缺失了过多的数据，备份无太大的意义。通过电话沟通得知，数据事故发生后，该公司请了当地一家数据恢复公司进行数据恢复，但经过3天的努力，最后还是徒劳而放弃。在电话中通过详细的询问得知，虚拟化系统为ESXi 5.0，存储只有一个LUN，LUN大小为1.2T，文件系统为 VMFS5，LUN上存有6台虚拟机，其中Windows Server 2003 虚拟机3台，Linux虚拟机3台，被删除的虚拟机虚拟磁盘大小均为200G，都是使用精简模式的虚拟磁盘，无快照。

　　因为是使用精简模式的虚拟磁盘，造成数据恢复的难度增大，所以用一般的数据恢复软件根本无法恢复其数据，甚至一般的数据恢复软件都无法恢复VMFS文件系统中的数据，这也导致本地那数据恢复公司耗时三天也无法恢复数据。

　　北亚数据恢复中心早在多年前便意识到了虚拟化是未来的发展趋势，便早已对VMWare服务器虚拟化系统的数据恢复做彻底研究，现已对ESX/ESXi存储底层结构了如指掌，对VMWare ESX Server 3.x/4.x/5.x 系列的数据恢复积累了大量的经验和多起成功案例，并开发了 VMFS文件系统的数据恢复软件: Formbyte Recovery For ESX ，Formbyte Recovery For ESX有着诸多同类型软件没有的功能，如能恢复删除的虚拟机，能罗列出删除虚拟机的操作系统类型和磁盘大小等，并完全支持VMFS LVM的数据恢复。

　　因为数据涉密，并要完全保证数据安全，客户选择邀请北京北亚数据恢复中心的恢复工程师远赴厦门恢复。

　　紧急签定合同后，北亚数据恢复中心的工程师当天便飞到福建，再次详细了解情况后，认为恢复的可能性极大，在客户机房中使用一台临时的服务器作数据恢复机器，再把目标LUN映射到数据恢复服务器上，然后使用北亚数据恢复中心自主研发的VMFS数据恢复软件: Formbyte Recovery For ESX 进行扫描，轻易扫描出客户删除的虚拟机，要恢复的虚拟机磁盘较大，每个都是200GB，Formbyte Recovery For ESX经过3个小时的导出后，本地验证数据，发现一台Linux虚拟机数据有问题。

　　然后人工对LUN底层的VMFS文件系统结构和对恢复出来的LINUX系统的虚拟磁盘进行完全分析，经过2小时的分析，发现是VMFS索引块有部分已被破坏，原因是此LUN上其它虚拟机仍在运行，并实时生成大量的数据，而虚拟磁盘又都是精简模式，删除虚拟机的原索引块被占用，造成索引缺失，后人工对VMFS底层进行跟踪，重构出部分原始数据块的分布位置，进行恢复和合并，最后覆盖到恢复出来虚拟磁盘中，验证，数据完全无问题，后在另一台ESX Server机器上重新构建环境，又经过5小时的上传，启动虚拟机，一却正常。

　　这样，一起严重的数据事故就这样被化解了，如果发现数据事故早一点停止其它虚拟机运行，并保证LUN数据的原始性，这事情则要简单多了，可省略后面大量的人工分析过程。不过，不幸中的万幸是数据最终还是完美的恢复了。