SCANDIC DATA

LEGIER СЪДЕБЕН ЦЕНТЪР: Манама (Бахрейн) - Data Зона на наличност Кувейт Сити - Крайно местоположение Сингапур (KDDI Asia Pacific)

Съдържание

По-често Sky Look1. Обобщение

Сайтът LEGIER GROUP управлява многостепенна екосистема от Dataцентрове с Манама (Core), Кувейт Сити (AZ) и Сингапур (Edge). Той предлага отделни, но интегрирани нива за мрежа, изчисления, съхранение, данни, изкуствен интелект и сигурност. Цели: Висока наличност, сигурност Zero-Trust, ниска латентност и доказано съответствие. Под одобрението на Регулаторен орган по телекомуникациите (TRA) в Бахрейн, центърът за данни LEGIER използва най-съвременни технологии, като например собствени компоненти с изкуствен интелект, Darktrace-решения за сигурност и IBM mainframe-технологии, за да се осигури надеждна, мащабируема и сигурна платформа. Бахрейн и Кувейт предлагат специфични предимства на местоположението, които оптимизират операциите. Ръководни принципи:
  • Първа защита на личните данни (KMS/HSM)
  • Устойчивост в няколко зони/региона
  • Архивиране на различни сметки
  • GitOps/IaC с подписани артефакти
  • Експлоатация на SRE с SLOs и автоматизация (SOAR)
Центърът за данни в Манама е проектиран така, че да отговаря на високите изисквания на глобална медийна компания:
  1. Висока наличност: Времето за работа от 99,999 % се постига чрез резервирани системи, като например двойни източници на захранване, резервни генератори и огледален хардуер, за да се гарантира непрекъснато производство на съобщения.
  2. Мащабируемост: Инфраструктурата може да бъде гъвкаво разширявана, за да се справи с нарастващите обеми данни и компютърни изисквания - от съществено значение за производството на девет езика по целия свят.
  3. Обработка и съхранение на данни: Милиони текстови, графични и видео данни се обработват и съхраняват в реално време. Бързи SSD дискове и надеждна мрежа за съхранение (SAN) осигуряват ефективност.
  4. Поддръжка на AI: Мощните графични процесори и процесори TPU поддържат сложни работни натоварвания с изкуствен интелект, като например анализ на съдържание и превод.
  5. Киберсигурност: Чувствителните данни изискват разширена защита, която се осигурява от Darktrace-технологии.

Случаи на използване на AI

 
  1. Анализ на съдържанието:
    • Технология: Дълбокото обучение и обработката на естествен език (НЛП) с модели като BERT анализират текстове, категоризират съдържание и извличат подходяща информация.
    • Полза: Ускорява обработката на съобщенията и подобрява точността, например при разпознаване на тенденции или ключови теми.
  3. Системи за препоръчване:
    • Технология: Машинното обучение с колаборативно филтриране и невронни мрежи персонализира съдържанието за читателите.
    • Полза: Увеличаване на лоялността на потребителите чрез персонализирани препоръки за четене, например за съдържание, специфично за региона или езика.
  4. Автоматизирано отчитане:
    • Технология: Генеративните модели на изкуствения интелект, като GPT, създават рутинни отчети, например за времето или спортните резултати.
    • Полза: Облекчава редакторите, които могат да се съсредоточат върху журналистически разследвания или сложни анализи.
  5. Преводи в реално време:
    • Технология: Инструменти за изкуствен интелект като DeepL или нашите собствени модели превеждат съдържание на девет езика в реално време.
    • Полза: Позволява незабавното публикуване на глобални новини, което е ключово предимство за 115-те вестника.
  6. Разпознаване на изображения и видео:
    • Технология: Конволюционните невронни мрежи (CNN) автоматично маркират и оценяват визуално съдържание.
    • Полза: Ускорява публикуването на мултимедийно съдържание чрез автоматизирано създаване на метаданни.

2. местоположение и топология

2.1 Манама (Бахрейн) - Основен регион

Централизирано управление/организация, клъстери с GPU/CPU, нива на обектите, SIEM/SOAR/KMS/PKI, DNS/директория, хранилища за артефакти (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, разделяне на VRF.

2.2 Data Зона на наличност (AZ) Кувейт Сити

Географска устойчивост/разделяне; профили на репликация за всеки клас данни (синхронни/близки до синхронните/асинхронни); изолирани домейни на грешки, специализирани точки на извеждане, определяне на обхвата на IAM, капацитети за DR (пилотен-лек-активен-активен).

2.3 Крайно местоположение Сингапур (KDDI Asia Pacific)

Неутрално крайно място на оператора (CDN/кеширане, WAF/DDoS, стрийминг). Основни данни чрез защитена репликация; цел: минимална латентност в APAC без публичен маршрут в чувствителни подмрежи.

3. архитектура на мрежата и взаимовръзките

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Манама-Кувейт-Сингапур чрез DWDM/MPLS, QoS за репликация/резервни копия, мониторинг на латентността/джитер с динамичен избор на път. Периметър: NGFW, L7 инспекция, DNS филтриране, бял списък на изхода. Източна/западна изолация: VRF/VXLAN, SG/NACL, mTLS, JIT достъп.

4. изчислителен, виртуализационен и контейнерен слой

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), оркестрация на виртуални машини, GPU възли (със смесена точност), IMDSv2, подписани изображения (Cosign), проверка на SBOM, контролер за допускане, seccomp/AppArmor. Secrets с KMS backend. Клиенти: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.

5. платформи за съхранение и данни

NVMe флаш за ниска латентност, SAN/NAS за VM/DB хранилища, S3 обектно хранилище с версиониране, жизнен цикъл, WORM и репликация Манама↔Кувейт; крайни кешове в Сингапур за медии. Стандарти: Блокиране на публичния достъп, отказ по подразбиране, криптиране от страна на клиента/сървъра (KMS/HSM), записване само веднъж, публични споделяния по изключение.

6. планиране на капацитета

6.1 Изчисляване

Ресурс Количество Бюджет за услуги на единица Общо Бележка
IBM z17 (рамка за мейнфрейм) 1 рамка n/a n/a Извод за транзакция/И в близост до основните системи
Сървър за графични процесори (2U, 8× GPU) 24 възела 2 kW ≈ 48 kW Обучение/извод, изображение/видео/NLP
Изчислителен процесор (1U) 80 възела 0,4 kW ≈ 32 kW Уеб/микроуслуги/K8s Worker
Уреди TPU/AI 8 уреди 1,2 kW ≈ 9,6 kW Специализирани работни натоварвания с AI

6.2 Памет

Животни Капацитет Изпълнение Използвайте
NVMe primary (Tier 0/1) ≈ 600 TB ≈ 12 kW Интензивни входно-изходни операции (Journals/Hot Data)
SAN/NAS (блок/файл) ≈ 2,5 PB ≈ 18 kW Съхранение на DB/VM/редакционни дялове
Памет за обекти (съвместима с S3) ≈ 8 PB ≈ 10 kW Медии, версии, архиви
Ниво за архивиране (WORM/Cold) ≈ 20 PB ≈ 6 kW Дългосрочно съхранение, съответствие

6.3 Мрежа/DCI

Компонент Пропускателна способност Технология Бележка
Възходящи връзки на тъканта 100/200/400 Gbit/s Spine-Leaf, ECMP Хоризонтално мащабируеми
DCI Манама-Кувейт ≥ 2× 100 Gbit/s DWDM/MPLS (излишни) Синхронно/близко до синхронното за всяко работно натоварване
DCI Манама-Сингапур ≥ 2× 100 Gbit/s Съкращаване на доставчика Крайно кеширане/стрийминг
Anycast/DDoS/WAF Глобален Почистване на ръбове Защита и ниска латентност

6.4 Енергия/охлаждане

Ресурс Тълкуване Цел Намек
UPS релси A/B N+1 Двойни пътища
Генератори N+1 Дизел + ATS Тестове за различни държави на тримесечие
Охлаждане Течно/свободно охлаждане Подобряване на PUE Изолиране на студени/горещи коридори
Слънчева енергия/CHP (по избор) Мащабируем Устойчивост Изглаждане на пиковото натоварване
Домейн Мащабиране Мярка Бележка
Капацитет на GPU +50 % Разширяване на клъстера, допълнителни стелажи Модулно разширение
Памет за обекти +40 % Удължения на рафтове Жизнен цикъл/архив животно
Пропускателна способност на DCI +100 % допълнителни вълни 100G Пикове в APAC/EMEA
Крайни PoP +2-3 APAC/EMEA Разширение Anycast
+50 % GPU (8×GPU/Node, 2U) и +30 % CPU за 12-24 месеца; гъстотата и охлаждането на шкафовете се потвърждават чрез термична симулация.

SCANDIC DATA

7. бази данни и съобщения

Релационен OLTP/OLAP, KV/хранилища за документи, индекси за търсене, стрийминг; модели за консистентност и синхронизиране/асинхронно репликиране; DNS/приложения за отказ, PITR, тестове за възстановяване в чиста стая.

8 AI платформа и медийни натоварвания

  • Съхраняване на характеристики, регистър на моделите, възпроизводими тръбопроводи за обучение, обяснимост/мониторинг (отклонения/пристрастия), управление.
  • Медии: транскодиране, DRM, персонализиране, крайно кеширане.
Софтуер:  
  • Съветник за обновяване на COBOL за z/OS: Модернизира наследените приложения за Enterprise COBOL 6.
  • Наблюдаваемост на Instana за Z: Наблюдава приложенията и инфраструктурата в реално време.
  • IntelliMagic Vision за z/OS: Оптимизира производителността на мейнфрейма.
  • watsonx Помощник за Z: Увеличава производителността с асистент с изкуствен интелект.
  • Обединете се в Z Operations: Опростява процесите с автоматизация, поддържана от изкуствен интелект.
  • Модернизиране на приложенията: Инструменти като Application Delivery Foundation for z/OS, watsonx Code Assistant for Z и z/OS Connect модернизират приложенията и API.
  • Допълнителен софтуер: CICS (обработка на транзакции), DB2 за z/OS (база данни), IMS (управление на транзакции) и Omegamon (мониторинг).
Z17 представлява стабилна основа за обработка на данни и интегриране на изкуствен интелект в центъра за данни.

9. сигурност и съответствие

Zero-Trust, MFA/SSO, най-малко привилегии, криптиране от край до край, подписана верига на доставка (SBOM/SLSA), SIEM/SOAR, артефакти за одит и записи за обработка.

9.1 Допълнителни предпазни огради (от „LEGIER DT SEC“)

  1. Оперативен модел и глобален отпечатък Центърът за данни (работните натоварвания) се управлява на базата на многорегионална/многоазиатска система: Производство в регион А (поне 3 AZ), синхронизирана работа в регион Б (DR/Active-Active в зависимост от RPO/RTO). LEGIER осигурява глобално разпределени региони и зони на наличност, които са физически разделени и независими с електрозахранване/охлаждане/мрежа.
  2. „Модел на споделена отговорност“ LEGIER отговаря за сигурността на облака (физически местоположения, хардуер, виртуализация, основни услуги). Клиентите отговарят за сигурността в облака (идентичности, мрежа, данни, операционна система/контейнер/слой на приложенията). Този модел определя архитектурата, контрола и одитите във всички слоеве.
  3. Физическа сигурност Многопластови физически контроли: Периметър (контрол на достъпа, наблюдение), защитени входове с MFA, сензори/аларми, регистриране на достъпа, строго зониране в сградата. Тези контроли се управляват и проверяват централно от LEGIER.
  4. Сегментиране на мрежата и защита на периметъра Дизайн на VPC с публична/частна подмрежа за AZ, строга концепция за изолация изток/запад, Security Groups (stateful) + NACLs. Мрежова защитна стена LEGIER като държавен контрол на периметъра/изхода L7 (напр. чрез централна проверка на транзитен шлюз). LEGIER PrivateLink/VPC Endpoints: частен достъп до API на LEGIER и партньорски услуги без излагане в интернет. LEGIER WAF и LEGIER Shield Advanced пред крайните точки, насочени към интернет (правила L7, защита от ботове/DDoS).
  5. Изчислителна изолация (LEGIER Nitro) Екземплярите на EC2 работят със системата FACE LEGIER: разделяне на хардуерните разтоварвания („Nitro Cards“), хипервайзор Nitro без емулация на устройства, чип Nitro Security за проверки на целостта; по този начин се постига силно разделяне на клиентите и се свежда до минимум повърхността за атаки.
  6. Идентичности, клиенти и най-малка привилегия LEGIER Организациите с SCP („Политики за контрол на услугите“) централизирано налагат максимални граници на разрешенията (предпазни огради) за всички акаунти (зона за кацане). IAM Identity Centre (преди SSO) интегрира IdP на компанията, предлага SSO и фино разпределение на акаунти/приложения; ABAC/Permission Boundaries допълва Least-Privilege.
  7. Сигурност на данните и криптография Стандарт: Криптиране при престой/транзит. Управление на ключове чрез LEGIER KMS, за географска устойчивост на многорегионални ключове (един и същ ключов материал/идентификатор на ключа в няколко региона - криптиране в регион А, декриптиране в регион Б). CloudHSM, ако е необходимо (притежавани от клиента, валидирани от FIPS HSM клъстери, с един наемател) за максимална независимост на ключовете. Контрол на S3: Блокиране на публичния достъп (на ниво акаунт/кофа) като „публичен по изключение“, заключване на обекти в S3 (WORM) за неизменност и устойчивост на ransomware. LEGIER LOGS: Поддържано от ML откриване/мониторинг на чувствителни данни (S3) и интегриране в Security Hub.
  8. Разпознаване, регистриране и управление на позициите LEGIER CloudTrail (за цялата организация, за няколко региона) за събития, свързани с API/управлението, безпроблемен одит и криминалистика. Amazon GuardDuty (откриване на заплахи на базата на дневник/рунвейм), LEGIER Security Hub (централизирана корелация на констатации, CIS/основни най-добри практики), по избор Macie/Inspector/Detective като източници на сигнали.
  9. Архивиране, DR и неизменност LEGIER архивиране с копия между региони и акаунти; политики централно чрез организации; комбинация с S3 Object Lock за архивиране WORM. Оперативни модели: Pilot-Light (пилотен), Warm-Standby (топъл) или Active-Active (активен); използване на мулти-АЗ услуги (RDS/Aurora, EKS, MSK) и Route 53 failover (възстановяване при отказ).
  10. Управление и архитектурни предпазни огради LEGIER Добре проектиран - 1TP63Стълб на сигурността като референция (принципи на проектиране, контрол, автоматизация). Съответствие: широк обхват (включително ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Артефактът предоставя SOC/ISO доказателства при поискване за одити.

Примерен проект (Zero-Trust и многостепенна защита)

  • Зона за кацане с много акаунти (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (напр. забранени региони/услуги, принудително използване на CloudTrail и KMS).
  • Мрежа: Централен хъб VPC с транзитен шлюз, мрежова защитна стена за инспекция на VPC, крайни точки на интерфейса/частна връзка към S3, STS, KMS, ECR, Secrets Manager; без изходящи публични маршрути от частни подмрежи.
  • Изчисляване/контейнер: EC2/EKS на Nitro; IMDSv2 се прилага; само необходимите роли на IAM (най-малка привилегия), Secrets в Secrets Manager/SSM Parameter Store.
  • Данни: S3 с блоков публичен достъп, криптиране по подразбиране (SSE-KMS), заключване на обекти (режим на съответствие или управление), Macie за откриване на PII.
  • Edge/Apps: ALB/NLB зад WAF и Shield Advanced, TLS терминиране/политики, управлявани чрез ACM; достъпът до API е за предпочитане частен чрез PrivateLink.
  • Откриване и одит: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, Security Hub като централно табло за управление и интеграция на билети.
  • Архивиране/DR: Политики в LEGIER Архивиране с копия между регионите и сметките; KMS ключове за много региони за устойчивост на ключовете.

10. киберустойчивост, архивиране и възстановяване

Резервни копия между региони/акаунти с неизменни копия (заключване на обекти/WORM), упражнения за възстановяване в чиста стая, профили RTO/RPO, книги за изпълнение (пилотна светлина, топъл резерв, активен-активен). Цел: RPO ≤ 15 минути, RTO ≤ 60 минути.

11. наблюдаемост и оперативна автоматизация

Централна телеметрия (дневници/метрични данни/проследявания), корелация и SOAR наръчници, проследяване на SLO, бюджети за грешки, дни на играта и хаотични тренировки за намаляване на MTTD/MTTR.

SCANDIC DATA

12. енергия, охлаждане и устойчивост

Двойно захранване, A/B UPS, N+1 генератори, изолиране, течно/адиабатно/свободно охлаждане, възстановяване на топлината, опции за възобновяеми източници; PUE като ключов показател за ефективност.

13. списъци със стелажи

13.1 Манама - основни стелажи

U Устройство Тип/модел Количество Захранваща линия (A/B) Максимална мощност [W]
42 Пач панел A LC/LC 144F 1 A -
41 Пач панел B LC/LC 144F 1 B -
40 Гръбнак 1 Превключвател 40/100G 1U 1 A 600
39 Гръбнак 2 Превключвател 40/100G 1U 1 B 600
38 Mgmt-Switch 1G/10G 1U 1 A 120
37-30 Лист 1-8 25/100G ToR 1U 8 A/B 8× 450
29-28 Клъстер на защитна стена NGFW 2U 2 A/B 2× 800
27 IDS/IPS 1U 1 A 200
26 DDoS Edge 1U 1 B 200
25-24 Балансиране на натоварването 2× 1U 2 A/B 2× 250
A-01: Основна мрежа (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Компютър/GPU (обучение/изводи), CPU възли, Mgmt/KVM A-03: Съхранение (контролери, рафтове, шлюзове за архивиране)

13.2 Кувейт Сити - AZ-Racks

U Устройство Тип/модел Количество Захранваща линия (A/B) Максимална мощност [W]
42-41 Пач панел A/B - 2 A/B -
40-25 CPU сървър 1U 12 A/B 12× 400
24-17 GPU сървър (DR) 2U 4 A/B 4× 2000
16-15 Управление/KVM 1U 2 A/B 2× 80
K-01: AZ мрежа/листа, защитни стени, LB K-02: Компютър/DR K-03: Обект/резервно копие (WORM/неизменни)

13.3 Сингапур - крайни стелажи

U Устройство Тип/модел Количество Захранваща линия (A/B) Максимална мощност [W]
42 Пач панел - 1 A/B -
41-40 Краен маршрутизатор 1U 2 A/B 2× 250
39-38 Краен превключвател 1U 2 A/B 2× 200
37-34 Възли за кеш/прокси 1U 4 A/B 4× 350
33-32 Уред WAF/DDoS 1U 2 A/B 2× 300
31-28 Stream Gateway 1U 4 A/B 4× 300
S-01: Крайни маршрутизатори/превключватели, кеш/прокси, WAF/DDoS, шлюзове за поток

14 Целеви стойности на SLA и ключови показатели за ефективност

Домейн Целева стойност Бележка
Наличност ≥ 99.999 % Резервни зони, автоматично преминаване към отказ
RPO ≤ 15 минути Журнализиране, репликация, моментни снимки
RTO ≤ 60 минути Работни книги, възстановяване като код
Защита MTTD < 5 мин., MTTR < 60 мин. Откриване на аномалии, наръчници на SOAR
Ефективност Оптимизиране на PUE Течно охлаждане, свободно охлаждане
Наличност ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; тримесечни прегледи/одити. Логически изглед на потребителите/партньорите чрез Edge (Сингапур) и DCI към основната структура (Манама) и платформите за данни, с репликация към AZ Кувейт Сити.

 SCANDIC DATA

15. пътна карта (12-24 месеца)

Бахрейн и Кувейт, както и Сингапур, предлагат стратегически предимства за центъра за данни, зоната за наличност Data и местоположението на Edge:
  • Географско местоположение: Централно разположен между Европа, Азия и Африка, идеален за глобална свързаност.
  • Благоприятно отношение към бизнеса: Липсата на корпоративни данъци и 100 % чуждестранна собственост насърчават инвестициите.
  • Регулаторна подкрепа: TRA и Съветът за икономическо развитие (EDB) предлагат стимули, като например "Златен лиценз".
  • Инфраструктура: Сложни енергийни и мрежови връзки и квалифицирана работна ръка.
  • Стабилност: Като финансови центрове (Бахрейн и Кувейт) в Близкия изток и Азия (Сингапур) тези места предлагат политическа и икономическа сигурност.

IBM z17 Характеристики:

  • Процесор Telum® II: Предлага висока изчислителна мощност и ускорение на изкуствения интелект в чипа за операции за изводи в реално време, например за анализ на данни от читатели.
  • Ускорител Spyre™: Увеличава изчислителната мощ на ИИ за генеративни модели и многомоделни методи.
  • Сигурност: Хардуерното криптиране и PCIe Cryptographic Coprocessor защитават чувствителните данни.
  • Устойчивост: Интегрираните функции осигуряват непрекъсната наличност.

Памет за данни LEGIER:

Медийната група LEGIER използва услуга за хостинг на файлове, в която могат да се съхраняват големи количества данни, достъпът до която се осъществява чрез HTTP/HTTPS и която използва концепцията за кофички и обекти, подобни на директориите и файловете, които са се наложили като стандарт. В този случай LEGIER работи съвместно с AWS, като използва мрежови дискове Elastic File System и архивиране на файловете чрез Glacier, за да постигне „99,999999999“ процента трайност на данните. Предимството за медийната група на LEGIER е използването на Elastic Block Store (EBS) и съхранението на ниво блок, към което могат да бъдат прикрепени инстанции EC2. Предимството на тази технология е прехвърлянето на големи количества данни с услугата Снежна топка Съхраняване на данни на твърд диск, на който могат да се копират и изпращат обратно големи количества данни чрез услугата за изпращане на пратки, при което прехвърлянето на много големи количества данни към вашите собствени 115 ежедневници (статии, изображения, видеоклипове, предаване на живо) е много по-бързо и се съхранява в бази данни (SimpleDB или Relational Database Service). Мащабиране на GPU/object/DCI/edge, разширяване на anycast, укрепване на веригата за доставки (SLSA), автоматизация на съответствието, редовни упражнения за устойчивост/рестартиране.