Невідомий інструмент витирає наші віртуальні машини, і ми не можемо його ідентифікувати

18

У консольному вікні Windows 2008 R2 VM на vSphere відображається такий екран:

Скрінграб програми

"Операція 2 з 2" "Витирання диска"

Хтось може порадити, що це за програма?

Деякі відомості про цю таємницю:

Зараз реалізується низка ВМ. Симптом після перезавантаження з'являється повідомлення "ОС не знайдено".

  • ВМ працюють на ESXi. ВМ працюють на певній сховищі даних
  • Netapp NFS Встановлення диска в робочий ящик не відображає таблицю розділів, ще не вдалося шістнадцятковий скинути.
  • VM не був важким скиданням, мав би бути ініційований операційною системою м'який скидання
  • Не встановлено ізоізоляцію. Не було дозволеного доступу до VM "не запрошених", тому потрібно мати RDP або подібне
  • Резервне копіювання виконується за допомогою програмного забезпечення резервного копіювання netapp протягом ночі
  • NFS, про який йде мова, є тонким на задньому кінці (рівень масиву) і не вистачає місця після того, як ми побачили ці проблеми.
windows-server-2008-r2  nfs  vmware-vsphere  hard-drive 
Rqomey
джерело
1
Ви підтвердили, що ніде не налаштований PXE-сервер, який би міг це робити?
День
@DAN не піднімається PXE при перезапуску VM - отже, "не знайдено ОС", якщо це не дуже цільова настройка pxe. Також NFS, у якого закінчується обсяг пам’яті / МОЖЕ /, буде спричинено повним записом диска цього інструменту
Rqomey
1
Чи обмежено це вашими віртуальними машинами Windows, або всіма тими єдиними віртуальними машинами, які у вас на цьому хості?
MDMoore313
9
Цілком виходячи з дизайну вікна, рядків, що містяться в ньому, як купка подібних знімків екрану, схоже, що інструмент - це щось, побудоване Acronis. Ось приклад інструменту Acronis, створеного для Seagate (натисніть «Далі» кілька разів, щоб побачити його), який виглядає дуже схожим.
Моше Кац
1
Я бачив подібний макет інтерфейсу у Acronis Disc Director. Мабуть, у нього є функція "очищення диска" (googled it), якою я ніколи не користувався. Здається, він працює на вашого гостя. Ви налаштовуєте його за допомогою GUI (можливо, він також містить exe командного рядка), і цей матеріал відбувається при перезавантаженні.
Даніель Ф

Відповіді:

10

На жаль, схоже, що ми можемо не досягти того, що було в заявці, але щоб отримати деяке значення від цього випадку, я хотів створити референтну відповідь. Це орієнтоване на VMware та управління віртуальним шаром. Дуже багато адміністраторів є відокремленими, і вони не можуть швидко отримати доступ до гостей або сховища, і це для них :)

http://support.seagate.com/kbimg/flash/laptop/Laptop.swf, здається, є найбільш близькою до фактичної програми, яку знайшов @MosheKatz.

Якщо це сталося в майбутньому, слід слід так:

  • Ви помітили, що деякі, але не всі VM розбилися. Ви підозрюєте, що це пов’язано з проблемою зберігання (як це, як правило, є найбільш вірогідною причиною)
  • Спочатку спробуйте виділити загальний фактор. Чи всі розбиті віртуальні машини поділяють однаковий сховище даних? У цьому випадку вони були, але деякі машини були в порядку, тому ми виключали очевидні проблеми з обладнанням.
  • Перевірте всі розбиті відеомагнітофони, щоб побачити, чи був загальний фактор (час, функція тощо). У цьому випадку не було.

  • Перевірте інші незвичайні події. Щось тут підняли прапор:

    • Сховище NFS було тонкозахисним (на рівні масиву). Це означає, що хоча напр. 200 Гб представлено хостам ESXi, насправді доступно лише 100 ГБ. Однак, лише цей масив має ці знання. Ми знайшли, що ряд візуальних машин було призупинено, оскільки у них не вистачало місця на диску. Хоча це, можливо, і було першопричиною, тому нашим кулаковим заходом було виділити більше місця на задньому боці, щоб усунути це як проблему.

  • Після того, як це було вирішено (проста зміна інтерфейсу користувача), і призупинені VM успішно перезапустилися, ми повернулися до початкової проблеми. Ми встановили віртуальні диски від зламаних віртуальних машин до робочої ВМ і побачили, що на дисках немає таблиці розділів. У нас не було доступного шестигранного перегляду, тому довелося вважати, що диски тепер порожні.

  • Система моніторингу оповістила про новий ВМ, який просто не реагував. Це було чудово, оскільки навантаження VM за минулі хвилини виявилася невідповідною через проблему з дисковим простором, тому факт, що цей новий VM був знайдений швидко, був ознакою хорошого адміністрування моніторингу.

  • Ми відкрили консоль і перевірили гостя, і побачили вищезгадане захоплення екрана.

    • На цьому етапі я зайшов до кімнати чату з помилками сервера, щоб перевірити, чи можна ідентифікувати програму, в той час як мій колега зберігання перевіряв усі журнали та події віртуального рівня, щоб переконатися, що в нашій області не працює операція зберігання даних.
  • Що ми повинні були зробити, це призупинити VM, дозволити видалити файл призупинення та проаналізувати дамп, щоб перевірити, чи може бути визначена запущена програма. Призупиніть VM до основного PDF VMware KB

Зрештою, ми знали, що інструменти віртуальної інфраструктури не повідомили б гостя, як це робилося вище. Ми могли побачити, що ISO не встановлено, і жодні події, зафіксовані проти VM. Ми могли бачити, що VM не був «зарядженим силовим циклом», а лише м'яким перезапуском (це непомітно для основної інфраструктури). Ми знали, що це не сторона зберігання, як це вже було виключено. Ми підозрювали, що це не було автоматизовано, оскільки це відбувалося протягом декількох годин на конкретних ВМ. Ми здогадалися, що це не шкідливо, бо чому консольний звіт Disk Wipe буде очищений, якщо він був :)

Отже, висновком було стерти диск, ініційований користувачем. Це стосується мого розслідування, але я сподіваюся, що ви вважаєте це корисним.

Вивчені уроки:

  • Створіть резервну копію та протестуйте реставрацію
  • Переконайтесь, що всі користувачі, зокрема користувачі адміністратора, знають, що вони працюють у тонкому захищеному середовищі, і повинні уникати нічого подібного до форматування дисків, що виписуються (тобто завантаження записів 1
  • Створити хорошу систему моніторингу.
  • І нове для мене: у будь-якому великому віртуальному середовищі мати готовий інструмент VM, навіть вимкнений, із встановленими інструментами діагностики; продуктивність, мережеве зберігання. Якби це було доступно, ми могли б встановити і виконати шестигранний дамп на пошкодженому диску, щоб побачити, чи справді він порожній, чи просто не вистачає mbr. Ми також могли бачити, якби це було виписано з 1-ї.
Rqomey
джерело
-1

Я думаю, що ваша проблема - це стандартна функція рекультивації космічного простору VMware.

Ця стаття може допомогти вам: Розв’язування питань щодо віртуального диска з використанням простору

док
джерело
Привіт @ Доку! Дякую за відгук, але це не так. Це операція, яка проводиться в гостях, про un-maps тощо повинна бути не руйнівною, і про таке не повідомляється через вікно консолі
Rqomey
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.