RAID 5 Çöktü, Kurtarma Süreci ve Maliyet Belirleyenler
RAID 5'te bir disk fail olursa dizi degraded moda düşer, iki disk birlikte giderse offline'a iner. Büyük disklerde rebuild sırasında URE riski ciddi. Diskleri etiketle, slot sırasını bozma, 'initialize' veya 'force rebuild' deme. Profesyonel kurtarmada her disk önce klonlanır.
RAID 5 Çöktü, Kurtarma Süreci ve Maliyet Belirleyenler
TL;DR: RAID 5'te bir disk fail olursa dizi degraded moda düşer, sistem çalışır ama artık yedek katmanı yoktur. İki disk birlikte giderse dizi kapanır ve veri offline'a iner. Büyük disklerde rebuild sırasında URE (Unrecoverable Read Error) ihtimali ciddi, bu yüzden ikinci disk fail klasik senaryodur. Diskleri etiketleyin, slot sırasını bozmayın, "initialize" veya "force rebuild" demeyin. Profesyonel kurtarmada her disk önce klonlanır, ardından sanal RAID rebuild edilir.
RAID 5, yıllarca kurumsal depolamanın belkemiği oldu. Hâlâ pek çok küçük ve orta ölçekli işletmede dosya sunucusu, NAS, yedek deposu olarak çalışıyor. Fakat disk kapasiteleri 8 TB, 12 TB, 18 TB seviyelerine çıkınca RAID 5'in matematiksel sınırları görünür hale geldi. Bu yazıda RAID 5'in nasıl çalıştığını, hangi senaryolarda çöktüğünü, kurtarma sürecinin teknik adımlarını ve maliyeti belirleyen faktörleri ayrıntılı ele alıyoruz. Pillar rehberimiz için bu bağlamı tamamlayan içeriği Veri Kurtarma Rehberi 2026 altında bulabilirsiniz.
RAID 5 nedir, nasıl çalışır
RAID 5, striping with distributed parity yaklaşımını kullanır. Minimum üç disk ile kurulur. Veriler stripe denilen bloklara bölünür, her stripe içinde N-1 disk gerçek veriyi tutar, geri kalan bir disk ise parity (eşlik) bloğunu tutar. Parity, basitçe diğer veri bloklarının XOR sonucudur. Herhangi bir disk gittiğinde, kalan veri blokları + parity üzerinden eksik blok matematiksel olarak hesaplanabilir.
Burada kritik üç kavram var: stripe size (tipik 64 KB, 128 KB, 256 KB), chunk size (her diske düşen blok boyutu), parity rotation (parity'nin hangi sırayla disklere dağıldığı, sola asimetrik, sağa asimetrik, Backward Dynamic vb.). Bir RAID 5 dizisini doğru kurtarmak için bu üç parametreyi bilmek veya analizle çıkarmak gerekir. Yanlış parametreyle yapılan sanal rebuild, dosya sistemi seviyesinde corrupt sonuç üretir. SNIA'nın yayımladığı Common RAID Disk Data Format standartları, bu parametrelerin tarihsel varyantlarını dokümante eden temel referanstır.
Hangi senaryoda RAID 5 çöker?
Bir disk fail (degraded mode)
Tipik RAID 5 vakasında ilk fail genelde gürültüsüz başlar. Disk SMART üzerinden uyarı verir, controller diziyi degraded moda alır, sistem çalışmaya devam eder. Bu aşamada veriye erişim sürer ama artık yedek katmanı yoktur. Yeni disk takılıp rebuild başlatıldığında dizi tüm sağlam diskleri uçtan uca okur. URE (Unrecoverable Read Error) olasılığı her okunan bit için ortalama 10^14'te 1 mertebesinde verilir (üretici spec sayfalarında "non-recoverable read errors per bits read" satırı). Toplam dizi kapasitesi büyüdükçe rebuild sırasında en az bir URE'ye denk gelme ihtimali doğrusal olarak artar. Bu, RAID 5'in büyük disklerde neden riskli kabul edildiğinin matematiksel temelidir.
İki disk aynı anda fail
Aynı parti diskler aynı çalışma saatine sahip olduğu için birlikte yaşlanır. Tek bir besleme dalgalanması, kötü bir kontrolör backplane'i veya yüksek sıcaklık iki diski peşpeşe götürebilir. Bu durumda dizi offline'a iner. Klasik mantıkla "veri gitti" görünür, fakat her diskin bitwise klonu alındıktan sonra hem dosya sistemi metadata'sı hem stripe yapısı analiz edilir, parsiyel kurtarma çoğu vakada mümkündür. Hangi disklerin önce gittiği, hangisinin "stale" (eski) veri tuttuğu burada belirleyicidir.
Rebuild sırasında ikinci disk fail
RAID 5'in en sık görülen kayıp senaryosu budur. Bir disk gider, yeni disk takılır, rebuild başlar. Rebuild okumayı yoğunlaştırdığı için zaten yıpranmış olan ikinci disk URE atar veya tamamen düşer. Dizi anlık olarak iki disk fail durumuna geçer ve kapanır. Burada paniklemek yerine derhal güç vermeyi durdurmak ve diskleri olduğu gibi etiketleyip kurtarma laboratuvarına teslim etmek doğru hamledir.
Controller arızası
Hardware RAID controller'ların (Dell PERC, HP Smart Array, LSI/Broadcom MegaRAID, Adaptec) firmware'i corrupt olabilir, batarya destekli cache'i veri yazmadan kaybedebilir, NVRAM metadata'sı bozulabilir. Diskler fiziksel olarak sağlamdır, fakat hangi diskin hangi slotta olduğunu, parity'nin nereye yazıldığını bilen controller artık konuşmaz. Aynı seri ve aynı firmware bir controller bulunsa bile birebir takılınca metadata uyuşmazlığı çıkar. Bu vakada disk imajları alınıp sanal ortamda RAID rekonstrüksiyonu tercih edilir.
NAS firmware corrupt
Synology DSM, QNAP QTS, Asustor ADM, TerraMaster TOS gibi NAS işletim sistemleri kendi sistem partition'ını dizinin başında tutar. Firmware update yarıda kesilirse veya güç giderse cihaz boot etmez. Diskler ham veriyi hâlâ tutar. Synology'nin SHR yapısı, Linux mdadm + LVM2 üzerine kuruludur, dolayısıyla diskler bir Linux iş istasyonunda mount edilerek pek çok vakada okunabilir, fakat süreç sıradan kullanıcı için risklidir. Synology DSM dokümantasyonu hangi disklerin hangi pool'a ait olduğunu görmek için /etc/space, /etc/lvm dosyalarına bakmayı tavsiye eder.
"Init" veya yanlış sıra ile rebuild
Kullanıcının paniklemesi RAID 5 kurtarmasını sıklıkla zorlaştıran etmendir. Controller "Foreign Configuration" uyarısı verir, kullanıcı "Clear" der, metadata silinir. Veya "Initialize" düğmesine basılır, dizi sıfırlanır. Yanlış slot sırasıyla rebuild başlatılırsa parity hesabı diğer diskler üzerine yazılır, geri dönüşü zor bir tahribat doğar. Asla "yes" demeyin kuralı bu senaryoları kapsar.
Disk fail sonrası ilk 30 dakika
- Sistemi devre dışı bırakın, RAID dizisinin servis ettiği paylaşımları durdurun, kullanıcıların I/O üretmesini engelleyin.
- Controller veya NAS logundan hangi diskin, hangi slottan, hangi zamanda fail olduğunu kaydedin. Bu bilgi kurtarma laboratuvarına gerekli.
- Diskler hâlâ okunabiliyorsa, mümkünse imaj alın. mdadm tabanlı sistemlerde
mdadm --examineçıktısını bir text dosyaya yazdırın. - Yeni disk takıp rebuild başlatmadan önce yedeğin durumunu kontrol edin. Geçerli ve tazeyse yedekten geri yükleme her zaman daha ucuz ve hızlıdır.
- NAS web arayüzünde "Reinitialize", "Repair", "Reset to factory" gibi düğmelere dokunmayın.
- Diskleri çıkarmanız gerekirse slot numarasıyla etiketleyin (1, 2, 3, 4 sıra önemli).
- Eğer arka planda bir fidye yazılım şüphesi de varsa süreç farklı işler. Bu vakada fidye yazılım sonrası ilk 24 saat yazımızdaki adımları takip edin, çünkü kurtarmadan önce olay yerinin korunması gerekir.
Profesyonel RAID 5 kurtarma süreci
1. Etiketleme ve teslim alma. Her disk slot sırasıyla numaralanır, seri numarası, kapasite, model, üretim partisi kaydedilir. Mümkünse kontrolör de teslim alınır.
2. Disk başına klon. Her disk DeepSpar Disk Imager, PC-3000 gibi donanım tabanlı imaj alıcılarla sektör sektör klonlanır. Klon sırasında bad sector'lar, slow read alanları, head map çıkarılır. Orijinal disklere bir daha yazma yapılmaz. Bu adım NIST SP 800-88'in kanıt zincirini koruma prensibiyle paralel çalışır, ileride veri imhası gerektiğinde aynı disiplin tersine uygulanır (bkz. NIST SP 800-88 Rev.1).
3. Parametre analizi. Klonlanan imajlar üzerinden stripe size, chunk size, disk order, parity rotation, başlangıç offset'i çıkarılır. Heuristik analiz + entropy haritası + bilinen dosya başlıklarının (file carving) hizalanması ile parametreler doğrulanır.
4. Sanal rebuild. UFS Explorer Professional Recovery, R-Studio Technician, ReclaiMe Pro gibi araçlarla sanal RAID kurulur. Hiçbir fiziksel diske yazma yapılmaz, sanal blok cihaz read-only olarak sunulur.
5. Dosya sistemi katmanı. Sanal RAID üzerinde NTFS, ext4, XFS, Btrfs, ZFS, BTRFS-on-LVM gibi dosya sistemleri ayrıştırılır. Dizin yapısı, journal, MFT veya inode tabloları analiz edilir. Bozuk bölümler için file carving devreye girer.
6. Doğrulama. Çıkarılan dosyalar checksum'la doğrulanır, kritik veritabanı dosyaları (Exchange EDB, SQL MDF, Oracle DBF, PostgreSQL cluster) için page-level integrity kontrolü yapılır.
7. Teslim. Müşteriye yeni bir disk veya NAS üzerinde teslim edilir, hash karşılaştırması yapılır, kanıt diski NIST SP 800-88 Purge seviyesine göre imha edilir veya müşteri talebiyle saklanır.
Hangi NAS markaları, hangi özellikler?
Synology Hybrid RAID (SHR)
SHR, farklı boyutlardaki diskleri en verimli kullanmak için mdadm + LVM üzerine kurulmuş bir abstraction'dır. Klasik RAID 5'ten farklı olarak diskleri segmentlere böler ve her segmenti ayrı bir mdadm dizisi olarak yönetir. Kurtarma sırasında her segmentin disk sırasını, başlangıç offset'ini, parity rotation'ını bağımsız çıkarmak gerekir.
Drobo BeyondRAID
Drobo'nun proprietary BeyondRAID yapısı dış dünyada belgelenmemiştir. Drobo şirketi 2023'te resmi olarak iflas başvurusu yaptı, üretim ve destek tamamen kalktı. Halen veri kurtarma uzmanları reverse-engineered toollarla Drobo dizilerini çözebiliyor, fakat süreç klasik RAID 5'ten belirgin biçimde uzun.
QNAP QTS ve TS-x53/x53D ailesi
QNAP, Linux mdadm + LVM2 + ext4 (veya yeni modellerde ZFS) kombinasyonunu kullanır. Klasik mdadm araçlarıyla çoğu vaka çözülebilir, fakat QNAP'in thin-provisioned LVM kullandığı dizilerde metadata'nın bozulması veriyi gizleyebilir.
Asustor, Buffalo TeraStation, WD MyCloud, TerraMaster
Hepsi Linux mdadm temellidir, fakat üzerine binen yönetim katmanları (Asustor ADM, Buffalo'nun XFS + custom partition layout'u, WD'nin gizli sistem partition'ı) kurtarmayı her marka için ayrı çalışma haline getirir.
RAID 6 vs RAID 5 fark
RAID 6, parity'yi tek değil iki bağımsız hesaplama ile tutar (P + Q syndrome, Reed-Solomon). Bu sayede iki diskin aynı anda kaybına dayanır. Rebuild sırasında bir URE atılsa bile ikinci parity üzerinden veri kurtarılabilir. 8 TB ve üzeri disklerle kurulan dizilerde RAID 6 endüstri standardı kabul edilir, RAID 5 ise küçük kapasiteli (4 TB altı) veya kısa ömürlü dizilerle sınırlandırılır. SNIA'nın yayımladığı kapasite-risk eğrileri bu eşiği teknik olarak destekler.
Veri kurtarma maliyetini ne belirler?
Kurtarma fiyatı tek bir tarife değil, vakaya özgü faktörlerin kombinasyonudur:
- Disk sayısı. 3 diskli dizi ile 12 diskli dizi arasında klonlama süresi ve sanal rebuild karmaşıklığı kat kat artar.
- Kapasite. Toplam 4 TB ile 48 TB arasında imaj alma + analiz + teslim süresi doğrudan farklılaşır.
- Hasarın doğası. Salt mantıksal (init, controller metadata corrupt) vakalar daha hızlıdır. Fiziksel hasar (head crash, motor arızası, PCB yanması) varsa clean room açılışı ve donör parça maliyeti eklenir.
- NAS tipi. Klasik mdadm tabanlı dizi ile Drobo BeyondRAID veya ZFS dizisi arasında analiz mühendisliği farklıdır.
- Şifreli volume. BitLocker, LUKS, eCryptfs, Synology Shared Folder Encryption gibi katmanlar varsa anahtar veya parola olmadan dosya seviyesinde sonuç verilemez.
- Aciliyet. 7/24 acil moda alınan vakalar standart moda göre farklı saat ücretiyle çalışır.
DSET süreci standart olarak şöyle yürür: ücretsiz teslim alma, ücretsiz keşif (kapasitenin yüzdesi ile dosya listesi), net fiyat teklifi, müşteri onayı, kurtarma, doğrulama, teslim. Onay vermeden ödeme yoktur.
KVKK ve gizlilik
Kurumsal RAID 5 dizileri çoğu zaman muhasebe, müşteri veritabanı, e-posta arşivi, personel dosyaları gibi KVKK kapsamında hassas veriler tutar. DSET her vaka için NDA imzalar, çalışma air-gapped lab içinde yürür, sadece yetkili teknik personel erişir. Teslim hash doğrulamalı yapılır, kanıt diskleri müşteri talebiyle ya iade edilir ya da NIST SP 800-88 Rev.1 Purge seviyesine göre imha edilir, imha raporu yazılı olarak verilir.
SSS
Disk fail oldu, sistem çalışıyor, acele etmeli miyim?
Evet, çünkü degraded modda artık yedek katmanı yoktur. Aynı parti ikinci diskin gitmesi her saat olabilir. İdeali, yedekten geri yükleyip dizi mimarisini RAID 6 veya yedeğe sahip başka topolojiye taşımaktır.
RAID 5'i 2 disk gittikten sonra kurtarmak mümkün mü?
Çoğu vakada evet. İkinci diskin "ne zaman ve ne ölçüde" gittiği belirleyicidir. Klonlanan imajlar üzerinden parsiyel kurtarma standart süreçtir.
NAS firmware corrupt oldu, veri gider mi?
Diskler sağlamsa veri durur. NAS'ın reinitialize veya factory reset seçeneklerine basmamak şartıyla, diskler bir Linux ortamında mount edilerek veya laboratuvarda klonlanarak çıkarılabilir.
Rebuild sırasında ikinci disk gitti, ne yapmalı?
Hemen güç verin durdurun, force rebuild ya da consistency check denemeyin. Diskleri etiketleyip teslim edin.
Hangi disk sırasının doğru olduğunu nasıl bulursunuz?
Klonlar üzerinde dosya sistemi başlıklarının (NTFS boot sector, ext4 superblock, XFS AG header) doğru hizalandığı sıra aranır. Bilinen büyük dosyaların (örneğin bir SQL backup'ın) imzası farklı disk sıralarıyla test edilir, sadece doğru sırada bütünlük doğrular.
Şifreli RAID volume kurtarılır mı (BitLocker, LUKS)?
Anahtar veya recovery key varsa evet. Dizi katmanı kurtarılır, üzerine sanal disk olarak BitLocker veya LUKS açılır, ardından dosya sistemi çıkarılır. Anahtar yoksa sadece şifreli ham blok teslim edilebilir.
Kurtarma süresi ne kadar?
Tipik kurumsal RAID 5 vakasında imaj alma 1-3 gün, parametre analizi + sanal rebuild 1-2 gün, dosya sistemi çıkarımı ve teslim 1-2 gün arası sürer. Toplam 3-7 iş günü standart aralıktır, fiziksel hasar varsa süre uzar.
DSET ile çalışmak
RAID 5 vakaları çoğunlukla zamanla yarışır. İkinci diskin gitmesi, yanlış bir "rebuild" tıklaması veya yanlış sırayla disk takılması saatler içinde tabloyu kötüleştirir. Pillar Veri Kurtarma Rehberi 2026 içeriğimiz, vakanın hangi kategoriye girdiğini anlamanız için yol gösterir. Vakaya fidye yazılım da eklendiyse fidye yazılım sonrası ilk 24 saat yazımızı önce okuyun, çünkü kurtarmadan önce kanıt zinciri korunmalıdır.
DSET · Doğanay Siber Emniyet Teknolojileri Hacettepe Teknokent, Ankara Telefon: +90 536 662 38 09 E-posta: [email protected]
Ücretsiz teslim alma, ücretsiz keşif, net teklif, NDA güvencesi, NIST SP 800-88 disiplini ile çalışıyoruz.
Kaynaklar: · SNIA Storage Standards · snia.org · Linux mdadm Wiki · raid.wiki.kernel.org · Synology DSM Knowledge Base · synology.com · NIST SP 800-88 Rev.1 Guidelines for Media Sanitization · csrc.nist.gov
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.