RAID磁盘阵列重组技术（PDF35页）

等级：B股票代码：300188RAID磁盘阵列重组技术•RAIDRedundantArrayofIndependent(或Inexpensive)Disk的首字母缩写；中文名称是独立（廉价）磁盘冗余阵列•RAID初衷是为了提供高端的存储功能和冗余数据安全什么是磁盘冗余阵列?•以RAID级别标准划分，可分为：RAID0、RAID1、RAID2、RAID3、RAID4、RAID5、RAID6•常用到有：RAID0、RAID1、RAID10、RAID5RAID类型ABCDEFGHIRAID0•条带单位block•存储能力=NAABBCCRAID1•镜象磁盘•储存能力=N/2•条带单位Block，独立校验盘•储存能力=N-1RAID4ABXORCDXOREFXORbit1bit2xor结果011000110101异或运算(XOR)•XOR（异或运算）是数理逻辑的基本运算之一。XOR用来进行RAID奇偶校验，可以通过预先计算的校验值来重建数据的方法•XOR应用在RAID3、RAID4、RAID5、RAID6中•条带单位Block，校验信息分布储存•储存能力=N-1RAID5ABXORCXORDXOREF条带是什么？条带•以磁盘的控制方式划分，可分为：–硬件磁盘冗余阵列(HardwareRAID)–软件磁盘冗余阵列(SoftwareRAID)RAID类型•硬件RAID(硬盘数据的读取和存储都是由硬件控制器负责)•由各种接口的RAID控制卡来实现，现在市场上有：–RAID控制卡支持的硬盘类型：IDE、SATA、SCSI，SAS–RAID控制卡通常的接口有：PCI-X、PCI-E•越来越多的PC主板也集成了RAID控制芯片，可实现RAID0、RAID1、RAID5，提升计算机的可靠性和可用性•品牌服务器常用的RAID控制卡类型有：LSI、Adaptec•RAID控制卡通常拥有电池和内存模块硬件RAID•外置硬件RAID磁盘阵列柜(SCSI通道和光纤通道)、NAS等硬件RAID•优势：–有独立的控制芯片，运行效率高，稳定性和可靠性强–不依赖于操作系统–RAID的维护方便（如RAID重建)•劣势：硬件成本通常较高硬件RAID的优劣•软件RAID的实现硬盘的数据读取和存储等控制由操作系统来实现，在Windows、Linux、Unix等操作系统均可实施RAID•在Windows下做软件RAID，需先将磁盘转为动态磁盘软件RAID•优势：软件RAID集成于操作系统，无需购买任何额外硬件，只要拥有一定的硬盘数量即可，成本投入少•劣势：CPU占用率较高，运行效率较低软件RAID的优劣–现场前准备工作–关机（建议最好正常关闭，避免RAID信息丢失或被破坏)–编号（贴标签）–获取–条带大小参数(StripeSize)–重组–验证–分析RAID在实战中的应用关机硬盘编号获取阵列重建准备工作验证/分析•利用取证软件重建RAID时，需要知道条带大小，才能正确恢复阵列•如何知道硬件RAID的条带大小？步骤：1.了解RAID控制卡的品牌类型(LSI、Adaptec、Promise等)2.了解如何进入RAID卡的BIOS(通常不同型号的卡有不同快捷键)3.进入RAIDBIOS，查询现有RAID的条带大小如何知道硬件RAID的条带大小•通常在机器开机后，会出现RAID卡的BIOS进入快捷键提示(多数阵列卡有快捷键提示)–LSI(快捷键：CTRL+M)–Adaptec(快捷键：CTRL+A)–3Ware(快捷键：ALT+3，无提示快捷键信息)•注意：不同厂商的硬件阵列卡，进入BIOS的方式均有些差异，最为常见的阵列卡有LSI、Adaptec阵列卡BIOS进入方式HA-0(BusXDevX)Type:PERC4e/DiStandardFWx.xxSDRAM=xxxMBBatteryModuleisPresentonAdapter1LogicalDrivefoundontheHostAdapterAdapterBIOSDisabled,NoLogicalDriveshandledbyBIOS0LogicalDrive(s)handledbyBIOSPressCtrlMtoEnableBIOSLSI的BIOS进入提示•LSI阵列卡的BIOS(DELL等服务器多数采用LSI)查看RAID的条带大小(StripeSize)AdaptecBIOS的进入提示•AdaptecBIOS查看RAID的条带大小(StripeSize)硬RAID重组-WinHex硬RAID重组—取证大师软RAID重组-取证大师•软件RAID不需要知道RAID的条带大小(StripeSize)，条带大小的信息就存储在硬盘中Windows软RAID重建无需格式化分区即可动态地拉伸或缩小分区的大小可实现类似RAID0的条带读写方式LinuxLVM重建•在入口处看到有文件列表，文件夹，有些文件可以看，是否就表明RAID5已经正确恢复了呢？答案：NO•在重建RAID5过程中，硬盘的先后排序很重要，关系到RAID5的重组是否正确。因此，如果有3个硬盘，那么有6个组合，如123,132,213,231,312,321，此外有些硬盘还需测试校验块同步/异步，最终需要测试12种组合顺序•那么那种组合才是正确的呢？通常硬件RAID默认的条带大小多数是64K，也就是数据在硬盘存储是以区块大小64K的数据，分散在各个硬盘存储的。通常建议找一个文件，文件大小大于64K，将该文件复制/恢复出来，然后测试是否能正常打开或运行最佳建议：找一个跨越多个磁盘条带的RAR文件，因为本身RAR带有自校验功能，如果文件数据不完整，解压时WinRAR就会有解压错误提示，最终也无法正常解压EnCase恢复硬件RAID阵列(以RAID5为例)•找了一个102KB的.rar压缩文件，解压出现错误，提示已损坏RAID恢复后的数据正确性校验•.rar文件有自身的文件完整性校验(CRC32)机制RAID恢复后的数据正确性校验•如果发现大多数大于条带大小的文件均无法正常打开或运行，那么很可能RAID5的磁盘顺序还不正确，需要重新调整，继续测试•如果RAID5的磁盘数量远超过3个，那么RAID5的磁盘组合次序的可能就急剧增加，很难在短时间内，测试出正确的RAID5磁盘组合RAID恢复后的数据正确性校验•有什么更好的方法可以自动检测RAID磁盘的组合顺序？RaidReconstructorR-Studio