LEGIER SOUDNÍ CENTRUM: Manama (Bahrajn) - Data Zóna dostupnosti Kuvajt City - Okrajová lokalita Singapur (KDDI Asia Pacific)
Obsah
Častěji Sky Look1. Shrnutí
Na stránkách LEGIER GROUP provozuje víceúrovňový ekosystém Datacentre s Manamou (Core), Kuvajt City (AZ) a Singapurem (Edge). Nabízí samostatné, ale integrované úrovně pro síť, výpočetní techniku, úložiště, data, umělou inteligenci a zabezpečení.
Cíle: Cíle: Vysoká dostupnost, nulové zabezpečení Trust, nízká latence a prokazatelná shoda s předpisy.
Na základě schválení Telekomunikační regulační úřad (TRA) v Bahrajnu, datové centrum LEGIER využívá nejmodernější technologie, například vlastní komponenty umělé inteligence, Darktrace-bezpečnostní řešení a Hlavní počítač IBM-technologie zajišťující spolehlivou, škálovatelnou a bezpečnou platformu. Bahrajn a Kuvajt nabízejí specifické výhody umístění, které optimalizují provoz.
Hlavní zásady:
Ochrana soukromí na prvním místě (KMS/HSM)
Odolnost pro více zemí/regionů
Zálohování napříč účty
GitOps/IaC s podepsanými artefakty
Provoz SRE se SLO a automatizací (SOAR)
Datové centrum v Manamě je navrženo tak, aby splňovalo náročné požadavky globální mediální společnosti:
Vysoká dostupnost: Provozuschopnosti 99,999 % je dosaženo díky redundantním systémům, jako jsou dva zdroje napájení, záložní generátory a zrcadlený hardware, které zajišťují nepřetržitou produkci zpráv.
Škálovatelnost: Infrastrukturu lze flexibilně rozšiřovat, aby zvládla rostoucí objemy dat a výpočetní požadavky - což je nezbytné pro produkci v devíti jazycích po celém světě.
Zpracování a ukládání dat: Miliony textových, obrazových a video datových bodů jsou zpracovávány a ukládány v reálném čase. Efektivitu zajišťují rychlé disky SSD a robustní síť SAN (Storage Area Network).
Podpora AI: Výkonné grafické procesory a jednotky TPU podporují komplexní pracovní zátěž umělé inteligence, jako je analýza obsahu a překlad.
Kybernetická bezpečnost: Citlivé údaje vyžadují pokročilou ochranu, kterou zajišťují. Darktrace-technologie.
Případy použití umělé inteligence
Obsahová analýza:
Technologie: Hluboké učení a zpracování přirozeného jazyka (NLP) pomocí modelů, jako je BERT, analyzují texty, kategorizují obsah a získávají relevantní informace.
Výhody: Zrychluje zpracování zpráv a zvyšuje přesnost, např. při rozpoznávání trendů nebo klíčových témat.
Doporučovací systémy:
Technologie: Strojové učení s kolaborativním filtrováním a neuronovými sítěmi přizpůsobuje obsah čtenářům.
Výhody: Zvyšuje loajalitu uživatelů prostřednictvím přizpůsobených doporučení ke čtení, například pro obsah specifický pro daný region nebo jazyk.
Automatizované hlášení:
Technologie: Generativní modely AI, jako je GPT, vytvářejí rutinní zprávy, např. o počasí nebo sportovních výsledcích.
Výhody: Ulehčuje redaktorům, kteří se mohou soustředit na investigativní žurnalistiku nebo komplexní analýzy.
Překlady v reálném čase:
Technologie: Nástroje umělé inteligence, jako je DeepL nebo naše vlastní modely, překládají obsah do devíti jazyků v reálném čase.
Výhody: Umožňuje okamžité zveřejnění globálních zpráv, což je pro 115 novin klíčová výhoda.
Rozpoznávání obrazu a videa:
Technologie: Konvoluční neuronové sítě (CNN) automaticky označují a vyhodnocují vizuální obsah.
Výhody: Urychluje publikování multimediálního obsahu prostřednictvím automatizovaného vytváření metadat.
Geografická odolnost/oddělení; profily replikace podle třídy dat (synchronní/near-synchronní/asynchronní); izolované chybové domény, vyhrazené výstupní body, rozsah IAM, kapacity DR (Pilot-Light-Active-Active).
2.3 Hranice Singapur (KDDI Asia Pacific)
Neutrální okrajový PoP operátora (CDN/caching, WAF/DDoS, streamování). Hlavní data prostřednictvím zabezpečené replikace; cíl: minimální latence v regionu APAC bez veřejné trasy v citlivých podsítích.
3. architektura sítě a propojení
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuvajt-Singapur přes DWDM/MPLS, QoS pro replikaci/zálohování, sledování latence/jitteru s dynamickým výběrem cesty.
Perimetr: NGFW, inspekce L7, filtrování DNS, egress whitelisting. Izolace východ/západ: VRF/VXLAN, SG/NACL, mTLS, přístup JIT.
4. výpočetní, virtualizační a kontejnerová vrstva
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orchestrace virtuálních počítačů, uzly GPU (mixed-precision), IMDSv2, podepsané obrazy (Cosign), kontrola SBOM, admission controller, seccomp/AppArmor. Secrets s backendem KMS.
Klienti: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.
5. úložné a datové platformy
NVMe flash pro nízkou latenci, SAN/NAS pro úložiště VM/DB, objektové úložiště S3 s verzováním, životním cyklem, WORM a replikací Manama↔Kuvajt; okrajové cache v Singapuru pro média.
Standardy: V případě potřeby je možné využít i další technologie, jako je např: Blokování veřejného přístupu, výchozí odepření, šifrování na straně klienta/serveru (KMS/HSM), protokolování write-once, sdílení public-by-exception.
6. plánování kapacity
6.1 Výpočet
Zdroje
Množství
Rozpočet služby na jednotku
Celkem
Poznámka
IBM z17 (mainframe)
1 rám
n/a
n/a
Odvozování transakcí/AI v blízkosti základních systémů
GPU server (2U, 8× GPU)
24 uzlů
2 kW
≈ 48 kW
Školení/odborná příprava, obrázek/video/NLP
Výpočetní CPU (1U)
80 uzlů
0,4 kW
≈ 32 kW
Web/Mikroslužby/K8s Worker
Spotřebiče TPU/AI
8 Spotřebiče
1,2 kW
≈ 9,6 kW
Specializovaná pracovní zátěž AI
6.2 Paměť
Zvířata
Kapacita
Výkon
Použijte
NVMe primary (Tier 0/1)
≈ 600 TB
≈ 12 kW
Intenzivní I/O (Žurnály/Hot Data)
SAN/NAS (bloky/soubory)
≈ 2,5 PB
≈ 18 kW
Úložiště DB/VM/editační akcie
Paměť objektů (kompatibilní s S3)
≈ 8 PB
≈ 10 kW
Média, verze, archivy
Archivní úroveň (WORM/Cold)
≈ 20 PB
≈ 6 kW
Dlouhodobé skladování, dodržování předpisů
6.3 Síť/DCI
Komponenta
Propustnost
Technologie
Poznámka
Látkové uplinky
100/200/400 Gbit/s
Spine-Leaf, ECMP
Horizontálně škálovatelné
DCI Manama-Kuvajt
≥ 2× 100 Gbit/s
DWDM/MPLS (redundantní)
Synchronní/near-synchronní na pracovní zátěž
DCI Manáma-Singapur
≥ 2× 100 Gbit/s
Nadbytečnost poskytovatele
Edge caching/streaming
Anycast/DDoS/WAF
Globální
Drhnutí hran
Ochrana a nízká latence
6.4 Energie/chlazení
Zdroje
Výklad
Cíl
Nápověda
Lišty UPS
A/B
N+1
Dvojí cesty
Generátory
N+1
Diesel + ATS
Čtvrtletní testy napříč zeměmi
Chlazení
Kapalinové/volné chlazení
Zlepšení PUE
Uzavření studené/horké uličky
Solární/CHP (volitelně)
Škálovatelné
Udržitelnost
Vyrovnávání špičkového zatížení
Doména
Měřítko
Opatření
Poznámka
Kapacita GPU
+50 %
Rozšíření clusteru, další stojany
Modulární rozšíření
Paměť objektu
+40 %
Prodloužení polic
Životní cyklus/archiv zvířat
Propustnost DCI
+100 %
další vlny 100G
Špičky v regionu APAC/EMEA
Okrajová pracoviště (Edge PoPs)
+2-3
APAC/EMEA
Rozšíření Anycast
+50 % GPU (8×GPU/Node, 2U) a +30 % CPU za 12-24 měsíců; hustota racku a chlazení ověřeno tepelnou simulací.
7. databáze a zasílání zpráv
Relační OLTP/OLAP, KV/sklady dokumentů, vyhledávací indexy, streaming; modely konzistence a synchronizační/asynchronizační replikace; DNS/aplikace failover, PITR, testy obnovy v čistém prostředí.
Média: překódování, DRM, personalizace, ukládání do mezipaměti.
Software:
COBOL Upgrade Advisor for z/OS: Modernizuje starší aplikace pro Enterprise COBOL 6.
Instana Pozorovatelnost pro Z: Monitoruje aplikace a infrastrukturu v reálném čase.
IntelliMagic Vision pro z/OS: Optimalizuje výkon hlavního počítače.
watsonx Asistent pro Z: Zvýšení produktivity pomocí asistenta s umělou inteligencí.
Z Operations Unite: Zjednodušuje procesy pomocí automatizace s podporou umělé inteligence.
Modernizace aplikací: Nástroje jako Application Delivery Foundation for z/OS, watsonx Code Assistant for Z a z/OS Connect modernizují aplikace a rozhraní API.
Další software: CICS (zpracování transakcí), DB2 for z/OS (databáze), IMS (správa transakcí) a Omegamon (monitorování).
Z17 tvoří robustní základ pro zpracování dat a integraci umělé inteligence v datovém centru.
9. bezpečnost a dodržování předpisů
Zero-Trust, MFA/SSO, minimální oprávnění, šifrování end-to-end, podepsaný dodavatelský řetězec (SBOM/SLSA), SIEM/SOAR, auditní artefakty a záznamy o zpracování.
9.1 Přídavná bezpečnostní zábradlí (od „LEGIER DT SEC“)
Provozní model a globální působnost
Datové centrum (pracovní zátěže) je provozováno na bázi více regionů / více oblastí: V regionu A je produkční provoz (minimálně 3 AZ), v regionu B je synchronizovaný provoz (DR/Active-Active v závislosti na RPO/RTO). LEGIER poskytuje globálně distribuované regiony a zóny dostupnosti, které jsou fyzicky oddělené a nezávislé na napájení/chlazení/síti.
„Model sdílené odpovědnosti“
LEGIER odpovídá za bezpečnost cloudu (fyzická umístění, hardware, virtualizace, základní služby). Zákazníci odpovídají za bezpečnost v cloudu (identity, síť, data, vrstva operačního systému/kontejneru/aplikací). Tento model určuje architekturu, kontroly a audity ve všech vrstvách.
Fyzická bezpečnost
Vícevrstvé fyzické ovládání: V budově je přísné zónování, zabezpečené vstupy s MFA, senzory/alarmy, zaznamenávání přístupu. Tyto kontroly jsou řízeny a kontrolovány centrálně prostřednictvím LEGIER.
Segmentace sítě a ochrana perimetru
Návrh VPC s veřejnou/privátní podsítí na AZ, striktní koncept izolace východ/západ, Security Group (stateful) + NACL. LEGIER Network Firewall jako stavová kontrola perimetru/adresy L7 (např. prostřednictvím centrální kontroly tranzitní brány). LEGIER PrivateLink/VPC Endpoints: Privátní přístup k API LEGIER a partnerským službám bez vystavení internetu. LEGIER WAF & LEGIER Shield Advanced před koncovými body směřujícími do internetu (pravidla L7, ochrana proti botům/DDoS).
Výpočetní izolace (LEGIER Nitro)
Instance EC2 běží na systému LEGIER FACE: oddělení hardwarového zatížení („karty Nitro“), štíhlý hypervizor Nitro bez emulace zařízení, čip Nitro Security pro kontrolu integrity; tedy silné oddělení klientů a minimalizovaný povrch útoku.
Identity, klienti a nejmenší výsady
LEGIER Organizace s SCP („Service Control Policies“) centrálně vynucuje maximální limity oprávnění (guardrails) pro všechny účty (landing zone). IAM Identity Centre (dříve SSO) integruje firemní IdP, nabízí SSO & jemné přiřazování účtům/aplikacím; ABAC/Permission Boundaries doplňuje Least-Privilege.
Zabezpečení dat a kryptografie
Standardní: Šifrování v klidu/při tranzitu. Správa klíčů prostřednictvím LEGIER KMS, pro geo-odolnost víceregionálních klíčů (stejný klíčový materiál/identifikátor klíče v několika regionech - šifrování v regionu A, dešifrování v regionu B). CloudHSM v případě potřeby (clustery HSM ve vlastnictví zákazníka, validované podle FIPS, s jedním nájemcem) pro maximální suverenitu klíčů. Řízení S3: Blokování veřejného přístupu (na úrovni účtu/bucketu) jako „public-by-exception“, uzamčení objektu S3 (WORM) pro neměnnost a odolnost proti ransomwaru. LEGIER LOGS: Detekce/monitorování citlivých dat (S3) s podporou ML a integrace do Security Hub.
Rozpoznávání, protokolování a správa postojů
LEGIER CloudTrail (pro celou organizaci, více regionů) pro události API/správy, bezproblémový audit a forenzní analýzu. Amazon GuardDuty (detekce hrozeb na základě protokolů/runtime), LEGIER Security Hub (centralizovaná korelace nálezů, CIS/Foundational Best Practices), volitelně Macie/Inspector/Detective jako zdroje signálů.
Zálohování, DR a neměnnost
LEGIER zálohování s kopiemi napříč regiony a účty; zásady centrálně prostřednictvím organizací; kombinace se zámkem objektů S3 pro zálohování WORM. Provozní modely: Pilot-Light, Warm-Standby nebo Active-Active; využití služeb multi-AZ (RDS/Aurora, EKS, MSK) a Route 53 failover.
Řízení a architektonické zábradlí
LEGIER Dobře navržený - 1TP63Pilíř bezpečnosti jako reference (principy návrhu, řízení, automatizace). Soulad: široké pokrytí (včetně ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact poskytuje důkazy SOC/ISO na vyžádání pro audity.
Příklad modrotisku (Zero-Trust a víceúrovňové zabezpečení)
Přistávací zóna pro více účtů (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (např. zakázané oblasti/služby, vynucené použití CloudTrail a KMS).
Síť: Centrální uzel VPC s tranzitní bránou, síťová kontrola firewallem VPC, koncové body rozhraní/privátní propojení na S3, STS, KMS, ECR, Secrets Manager; žádné odchozí veřejné trasy z privátních podsítí.
Počítač/kontejner: EC2/EKS na Nitro; vynucen IMDSv2; pouze nezbytné role IAM (nejmenší oprávnění), Secrets v Secrets Manager/SSM Parameter Store.
Data: S3 s veřejným blokovým přístupem, výchozí šifrování (SSE-KMS), zámek objektu (režim shody nebo správy), Macie pro detekci PII.
Hrana/Aplikace: ALB/NLB za WAF a Shield Advanced, ukončení TLS/politiky spravované přes ACM; přístup k API nejlépe soukromý přes PrivateLink.
Detekce a audit: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logy/route 53 resolver logy, Security Hub jako centrální dashboard a integrace ticketů.
Zálohování/DR: Zásady v LEGIER Zálohování s kopiemi napříč regiony a účty; klíče KMS pro více regionů pro zajištění odolnosti klíčů.
10. kybernetická odolnost, zálohování a obnova
Zálohování napříč oblastmi/účty s neměnnými kopiemi (zámek objektu/WORM), obnovovací vrty v čisté místnosti, profily RTO/RPO, runbooky (pilotní, teplý pohotovostní režim, aktivní-aktivní). Cíl: RPO ≤ 15 min, RTO ≤ 60 min.
11. sledovatelnost a provozní automatizace
Centrální telemetrie (protokoly/metriky/sledování), korelace a SOAR playbooky, sledování SLO, rozpočty chyb, herní dny a chaotická cvičení pro snížení MTTD/MTTR.
12. energie, chlazení a udržitelnost
Dvojité napájení, A/B UPS, N+1 generátory, kontejnment, kapalinové/adiabatické/volné chlazení, rekuperace tepla, možnosti obnovitelných zdrojů; PUE jako klíčový ukazatel účinnosti.
13. seznamy stojanů
13.1 Manama - Základní regály
U
Zařízení
Typ/model
Množství
Přívodní vedení (A/B)
Maximální výkon [W]
42
Patch panel A
LC/LC 144F
1
A
-
41
Patch panel B
LC/LC 144F
1
B
-
40
Páteř 1
Přepínač 40/100G 1U
1
A
600
39
Páteř 2
Přepínač 40/100G 1U
1
B
600
38
Mgmt-Switch
1G/10G 1U
1
A
120
37-30
List 1-8
25/100G ToR 1U
8
A/B
8× 450
29-28
Cluster brány firewall
NGFW 2U
2
A/B
2× 800
27
IDS/IPS
1U
1
A
200
26
DDoS Edge
1U
1
B
200
25-24
Vyrovnávač zatížení
2× 1U
2
A/B
2× 250
A-01: Základní síť (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Výpočetní jednotky/GPU (školení/inference), uzly CPU, Mgmt/KVM
A-03: Úložiště (řadiče, police, záložní brány)
Redundantní zóny, automatické převzetí služeb při selhání
RPO
≤ 15 minut
Žurnálování, replikace, snímky
RTO
≤ 60 minut
Knihy úloh, obnova jako kód
Zabezpečení
MTTD < 5 min., MTTR < 60 min.
Detekce anomálií, příručky SOAR
Efektivita
Optimalizace PUE
Kapalinové chlazení, volné chlazení
Dostupnost ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; čtvrtletní revize/audity.
Logické zobrazení uživatelů/partnerů prostřednictvím Edge (Singapur) a DCI do základní struktury (Manama) a datových platforem s replikací do AZ Kuwait City.
15. plán (12-24 měsíců)
Bahrajn, Kuvajt a Singapur nabízejí strategické výhody pro datové centrum, Data Availability Zone a Edge location:
Zeměpisná poloha: Centrální poloha mezi Evropou, Asií a Afrikou je ideální pro globální spojení.
Obchodní vstřícnost: Žádné korporátní daně a 100 % zahraničního vlastnictví podporují investice.
Regulační podpora: TRA a Rada pro hospodářský rozvoj (EDB) nabízejí pobídky, jako je zlatá licence.
Infrastruktura: Důmyslné energetické a síťové připojení a kvalifikovaná pracovní síla.
Stabilita: Jako finanční centra (Bahrajn a Kuvajt) na Blízkém východě a v Asii (Singapur) nabízejí tato místa politickou a ekonomickou bezpečnost.
IBM z17 Funkce:
Procesor Telum® II: Nabízí vysoký výpočetní výkon a akceleraci AI na čipu pro inferenční operace v reálném čase, např. pro analýzu čtenářských dat.
Spyre™ Accelerator: Zvyšuje výpočetní výkon umělé inteligence pro generativní modely a metody s více modely.
Zabezpečení: Hardwarové šifrování a kryptografický koprocesor PCIe chrání citlivá data.
Odolnost: Integrované funkce zajišťují nepřetržitou dostupnost.
Datová paměť LEGIER:
Skupina médií LEGIER využívá službu hostování souborů, která může ukládat velké množství dat, k nimž se přistupuje prostřednictvím protokolu HTTP/HTTPS a využívá koncepci kyblíků a objektů, které jsou podobné standardně zavedeným adresářům a souborům. Společnost LEGIER zde spolupracuje se společností AWS a využívá síťové disky Elastic File System a archivaci souborů pomocí technologie Glacier, aby dosáhla „99,999999999“ procentní trvanlivosti dat. Výhodou pro skupinu médií LEGIER je využití Elastic Block Store (EBS) a úložiště na úrovni bloků, ke kterému lze připojit instance EC2.
Výhodou této technologie je přenos velkého množství dat se službou Sněhová koule Úložiště na pevném disku, na které lze kopírovat velké objemy dat a posílat je zpět pomocí balíkové služby, čímž je přenos velmi velkých objemů dat do vlastního 115 denního tisku (články, obrázky, videa, živé vysílání) mnohem rychlejší a ukládá se do databází (buď SimpleDB, nebo relační Database Service).
Škálování GPU/objektů/DCI/edge, rozšíření anycastu, zpevnění dodavatelského řetězce (SLSA), automatizace dodržování předpisů, pravidelné cvičení odolnosti/restartování.
We've detected you might be speaking a different language. Do you want to change to:
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska