SCANDIC DATA

LEGIER COURT CENTRE: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)

Indholdsfortegnelse

Oftere er det Sky Look1. Sammenfatning

Den LEGIER GROUP driver et flerstrenget Datacentre-økosystem med Manama (Core), Kuwait City (AZ) og Singapore (Edge). Det tilbyder separate, men integrerede niveauer for netværk, beregning, lagring, data, AI og sikkerhed. Målsætninger: Høj tilgængelighed, nul-Trust-sikkerhed, lav latenstid og påviselig compliance. Under godkendelse af Regulerende myndighed for telekommunikation (TRA) i Bahrain, bruger datacentret LEGIER de nyeste teknologier som f.eks. sine egne AI-komponenter, Mørke spor-sikkerhedsløsninger og IBM mainframe-teknologi for at sikre en pålidelig, skalerbar og sikker platform. Bahrain og Kuwait tilbyder specifikke placeringsfordele, der optimerer driften. Vejledende principper:
  • Privacy-First (KMS/HSM)
  • Modstandsdygtighed i flere zoner/regioner
  • Sikkerhedskopiering på tværs af konti
  • GitOps/IaC med signerede artefakter
  • SRE-drift med SLO'er og automatisering (SOAR)
Datacentret i Manama er designet til at opfylde de krævende krav fra en global medievirksomhed:
  1. Høj tilgængelighed: En oppetid på 99,999 % opnås gennem redundante systemer som f.eks. dobbelte strømkilder, backup-generatorer og spejlet hardware for at sikre kontinuerlig beskedproduktion.
  2. Skalerbarhed: Infrastrukturen kan fleksibelt udvides til at klare stigende datamængder og computerkrav - afgørende for produktion på ni sprog over hele verden.
  3. Databehandling og -opbevaring: Millioner af tekst-, billed- og videodatapunkter behandles og lagres i realtid. Hurtige SSD'er og et robust SAN (storage area network) sikrer effektivitet.
  4. Støtte til kunstig intelligens: Kraftfulde GPU'er og TPU'er understøtter komplekse AI-arbejdsopgaver som indholdsanalyse og oversættelse.
  5. Cybersikkerhed: Følsomme data kræver avanceret beskyttelse, som leveres af Mørke spor-teknologier.

Anvendelse af AI

 
  1. Indholdsanalyse:
    • Teknologi: Deep learning og naturlig sprogbehandling (NLP) med modeller som BERT analyserer tekster, kategoriserer indhold og udtrækker relevant information.
    • Fordel: Fremskynder behandlingen af meddelelser og forbedrer nøjagtigheden, f.eks. ved genkendelse af tendenser eller nøgleemner.
  3. Anbefalingssystemer:
    • Teknologi: Maskinlæring med kollaborativ filtrering og neurale netværk tilpasser indholdet til læserne.
    • Fordel: Øger brugerloyaliteten gennem tilpassede læseanbefalinger, f.eks. til regionalt eller sprogspecifikt indhold.
  4. Automatiseret rapportering:
    • Teknologi: Generative AI-modeller som GPT skaber rutinemæssige rapporter, f.eks. om vejret eller sportsresultater.
    • Fordel: Aflaster redaktører, som kan koncentrere sig om undersøgende journalistik eller komplekse analyser.
  5. Oversættelser i realtid:
    • Teknologi: AI-værktøjer som DeepL eller vores egne modeller oversætter indhold til ni sprog i realtid.
    • Fordel: Muliggør øjeblikkelig offentliggørelse af globale nyheder, en vigtig fordel for de 115 aviser.
  6. Billed- og videogenkendelse:
    • Teknologi: Convolutional neural networks (CNN'er) tagger og evaluerer automatisk visuelt indhold.
    • Fordel: Fremskynder udgivelsen af multimedieindhold gennem automatisk oprettelse af metadata.

2. Placering og topologi

2.1 Manama (Bahrain) - kerneområde

Centraliseret kontrol/orkestrering, GPU/CPU-klynger, objektniveauer, SIEM/SOAR/KMS/PKI, DNS/katalog, artefaktlagre (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-separation.

2.2 Data Tilgængelighedszone (AZ) Kuwait City

Geografisk modstandsdygtighed/afkobling; replikationsprofiler pr. dataklasse (synkron/nær-synkron/asynkron); isolerede fejldomæner, dedikerede udgangspunkter, IAM-scoping, DR-kapaciteter (Pilot-Light-Active-Active).

2.3 Edge-placering Singapore (KDDI Asia Pacific)

Carrier-neutral edge PoP (CDN/caching, WAF/DDoS, streaming). Masterdata via sikker replikering; mål: minimal APAC-latency uden offentlig rute i følsomme undernet.

3. Netværks- og sammenkoblingsarkitektur

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore via DWDM/MPLS, QoS til replikering/backup, latency/jitter-overvågning med dynamisk stivalg. Perimeter: NGFW, L7-inspektion, DNS-filtrering, egress whitelisting. Øst/vest-isolering: VRF/VXLAN, SG/NACL, mTLS, JIT-adgang.

4. Computer-, virtualiserings- og containerlag

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-orkestrering, GPU-noder (blandet præcision), IMDSv2, signerede billeder (Cosign), SBOM-kontrol, adgangskontrol, seccomp/AppArmor. Secrets med KMS-backend. Klienter: Navnerum/projekter, ABAC/RBAC, tilladelsesgrænser, standard-benægtelse af netværkspolitikker, service mesh mTLS, antiaffinitet.

5. Lager- og dataplatforme

NVMe-flash til lav latenstid, SAN/NAS til VM/DB-lagre, S3-objektlager med versionering, livscyklus, WORM og replikering Manama↔Kuwait; edge caches i Singapore til medier. Standarder: Bloker offentlig adgang, standardafvisning, kryptering på klient/server-siden (KMS/HSM), write-once-logning, public-by-exception-shares.

6. Kapacitetsplanlægning

6.1 Beregning

Ressource Mængde Servicebudget pr. enhed I alt Bemærkning
IBM z17 (mainframe-ramme) 1 Ramme n/a n/a Transaktion/AI-inferens nær kernesystemer
GPU-server (2U, 8× GPU) 24 knudepunkter 2 kW ≈ 48 kW Træning/inferens, billede/video/NLP
CPU-beregning (1U) 80 knudepunkter 0,4 kW ≈ 32 kW Web/Microservices/K8s-medarbejder
TPU/AI apparater 8 apparater 1,2 kW ≈ 9,6 kW Specialiserede AI-arbejdsbelastninger

6.2 Hukommelse

Dyr Kapacitet Præstation Brug
NVMe primær (Tier 0/1) ≈ 600 TB ≈ 12 kW I/O-intensiv (Journaler/Hot Data)
SAN/NAS (blok/fil) ≈ 2,5 PB ≈ 18 kW DB/VM-lagre/redaktionelle aktier
Objekthukommelse (S3-kompatibel) ≈ 8 PB ≈ 10 kW Medier, versioner, arkiver
Arkivniveau (WORM/kold) ≈ 20 PB ≈ 6 kW Langtidsopbevaring, overholdelse af regler

6.3 Netværk/DCI

Komponent Gennemstrømning Teknologi Bemærkning
Uplinks til stof 100/200/400 Gbit/s Rygmarvsblad, ECMP Horisontalt skalerbar
DCI Manama-Kuwait ≥ 2× 100 Gbit/s DWDM/MPLS (redundant) Synkron/næsten-synkron pr. arbejdsbyrde
DCI Manama-Singapore ≥ 2× 100 Gbit/s Udbyderens redundans Edge caching/streaming
Anycast/DDoS/WAF Globalt Skrubning af kanter Beskyttelse og lav latenstid

6.4 Energi/køling

Ressource Fortolkning Mål Hint
UPS-skinner A/B N+1 Dobbelte stier
Generatorer N+1 Diesel + ATS Test på tværs af lande hvert kvartal
Køling Flydende/fri køling Forbedring af PUE Indeslutning af kolde/varme gange
Sol/CHP (valgfrit) Skalerbar Bæredygtighed Udjævning af spidsbelastning
Domæne Skalering Mål Bemærkning
GPU-kapacitet +50 % Klyngeudvidelse, ekstra racks Modulær udvidelse
Objekt-hukommelse +40 % Udvidelse af hylder Livscyklus/Arkivdyr
DCI-gennemstrømning +100 % yderligere 100G-bølger APAC/EMEA topper
Edge PoP'er +2-3 APAC/EMEA Anycast-udvidelse
+50 % GPU (8×GPU/Node, 2U) og +30 % CPU på 12-24 måneder; rack-tæthed og køling valideret ved termisk simulering.

SCANDIC DATA

7. Databaser og meddelelser

Relationel OLTP/OLAP, KV/dokumentlagre, søgeindekser, streaming; konsistensmodeller og sync/async-replikation; DNS/app failover, PITR, restore-tests i renrummet.

8 AI-platform og mediearbejdsbyrder

  • Feature store, modelregister, reproducerbare træningspipelines, forklarbarhed/overvågning (drift/bias), styring.
  • Medier: transcoding, DRM, personalisering, edge caching.
Software:  
  • COBOL Upgrade Advisor til z/OS: Moderniserer ældre applikationer til Enterprise COBOL 6.
  • Instana Observability for Z: Overvåger applikationer og infrastruktur i realtid.
  • IntelliMagic Vision til z/OS: Optimerer mainframens ydeevne.
  • watsonx Assistent for Z: Øger produktiviteten med en AI-assistent.
  • Z Operations forener sig: Forenkler processer med AI-understøttet automatisering.
  • Modernisering af applikationer: Værktøjer som Application Delivery Foundation for z/OS, watsonx Code Assistant for Z og z/OS Connect moderniserer applikationer og API'er.
  • Yderligere software: CICS (transaktionsbehandling), DB2 for z/OS (database), IMS (transaktionsstyring) og Omegamon (overvågning).
z17 danner et robust grundlag for databehandling og AI-integration i datacentret.

9. Sikkerhed og compliance

Zero-Trust, MFA/SSO, least-privilege, end-to-end-kryptering, signeret forsyningskæde (SBOM/SLSA), SIEM/SOAR, audit-artefakter og optegnelser over behandling.

9.1 Supplerende sikkerhedsbarrierer (fra „LEGIER DT SEC“)

  1. Driftsmodel og globalt fodaftryk Datacentret (workloads) drives på basis af flere regioner/multi-AZ'er: Produktion i region A (mindst 3 AZ'er), synkroniseret drift i region B (DR/Active-Active afhængigt af RPO/RTO). LEGIER giver globalt distribuerede regioner og tilgængelighedszoner, der er fysisk adskilt og uafhængige med strøm/køling/netværk.
  2. „Model for delt ansvar“ LEGIER er ansvarlig for sikkerheden i skyen (fysiske placeringer, hardware, virtualisering, kernetjenester). Kunderne er ansvarlige for sikkerheden i skyen (identiteter, netværk, data, OS/container/app-lag). Denne model bestemmer arkitektur, kontroller og revisioner på tværs af alle lag.
  3. Fysisk sikkerhed Fysisk kontrol i flere lag: Perimeter (adgangskontrol, overvågning), sikrede indgange med MFA, sensorer/alarmer, logning af adgang, streng zoneinddeling i bygningen. Disse kontroller betjenes og kontrolleres centralt af LEGIER.
  4. Netværkssegmentering og perimeterbeskyttelse VPC-design med offentlig/privat subnetting pr. AZ, strengt øst/vest-isoleringskoncept, Security Groups (stateful) + NACLs. LEGIER Network Firewall som stateful L7 perimeter/egress kontrol (f.eks. via transit gateway central inspektion). LEGIER PrivateLink/VPC Endpoints: Privat adgang til LEGIER API'er og partnertjenester uden interneteksponering. LEGIER WAF & LEGIER Shield Advanced foran internetvendte slutpunkter (L7-regler, bot/DDoS-beskyttelse).
  5. Isolering af computere (LEGIER Nitro) EC2-instanser kører på LEGIER FACE-systemet: adskillelse af hardware-offloads („Nitro Cards“), lean Nitro-hypervisor uden enhedsemulering, Nitro Security-chip til integritetskontrol; dermed stærk klientadskillelse og minimeret angrebsflade.
  6. Identiteter, klienter og mindste privilegium LEGIER Organisationer med SCP'er („Service Control Policies“) håndhæver centralt maksimale autorisationsgrænser (guardrails) for alle konti (landing zone). IAM Identity Centre (tidligere SSO) integrerer virksomhedens IdP, tilbyder SSO og finkornet tildeling til konti/apps; ABAC/Permission Boundaries supplerer Least-Privilege.
  7. Datasikkerhed og kryptografi Standard: Kryptering ved hvile/i transit. Nøglehåndtering via LEGIER KMS, for geo-resiliens multiregionale nøgler (samme nøglemateriale/nøgle-ID i flere regioner - kryptering i region A, dekryptering i region B). CloudHSM om nødvendigt (kundeejede, FIPS-validerede HSM-klynger, single-tenant) for maksimal nøglesuverænitet. S3-kontroller: Bloker offentlig adgang (konto/bucket-niveau) som „public-by-exception“, S3-objektlås (WORM) for uforanderlighed og modstandsdygtighed over for ransomware. LEGIER LOGS: ML-understøttet detektion/overvågning af følsomme data (S3) og integration i Security Hub.
  8. Genkendelse, logning og håndtering af kropsholdning LEGIER CloudTrail (organisationsdækkende, flere regioner) til API/administrationshændelser, problemfri revision og retsvidenskab. Amazon GuardDuty (log/runtime-baseret trusselsdetektering), LEGIER Security Hub (centraliseret korrelation af fund, CIS/Foundational Best Practices), valgfri Macie/Inspector/Detective som signalkilder.
  9. Backup, DR og uforanderlighed LEGIER-backup med kopier på tværs af regioner og konti; politikker centralt via organisationer; kombination med S3 Object Lock til WORM-backup. Driftsmodeller: Pilot-Light, Warm-Standby eller Active-Active; brug af multi-AZ-tjenester (RDS/Aurora, EKS, MSK) og Route 53 failover.
  10. Styring og arkitektoniske værn LEGIER Well-Architected - Security Pillar som reference (designprincipper, kontroller, automatisering). Overholdelse: bred dækning (herunder ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact leverer SOC/ISO-beviser on-demand til revisioner.

Eksempel på blueprint (Zero-Trust og sikkerhed på flere niveauer)

  • Landingszone med flere konti (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (f.eks. forbudte regioner/tjenester, tvungen CloudTrail- og KMS-brug).
  • Netværk: Central hub VPC med transitgateway, netværksfirewallinspektion VPC, grænsefladeslutpunkter/privat link til S3, STS, KMS, ECR, Secrets Manager; ingen udgående offentlige ruter fra private undernet.
  • Compute/Container: EC2/EKS på Nitro; IMDSv2 håndhævet; kun nødvendige IAM-roller (mindste privilegium), Secrets i Secrets Manager/SSM Parameter Store.
  • Data: S3 med blokeret offentlig adgang, standardkryptering (SSE-KMS), objektlås (compliance- eller governance-tilstand), Macie til PII-detektering.
  • Edge/Apps: ALB/NLB bag WAF & Shield Advanced, TLS-afslutninger/politikker administreret via ACM; API-adgang fortrinsvis privat via PrivateLink.
  • Detektion og revision: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, Security Hub som centralt dashboard og ticket integration.
  • Sikkerhedskopier/DR: Politikker i LEGIER Backup med kopier på tværs af regioner og konti; KMS-nøgler til flere regioner for at sikre nøglers robusthed.

10. Cyberrobusthed, sikkerhedskopiering og gendannelse

Backups på tværs af regioner/kontoer med uforanderlige kopier (objektlås/WORM), gendannelsesøvelser i renrummet, RTO/RPO-profiler, kørebøger (pilotlys, varm standby, aktiv-aktiv). Mål: RPO ≤ 15 min, RTO ≤ 60 min.

11. Observerbarhed og operationel automatisering

Central telemetri (logs/metrics/traces), korrelation & SOAR playbooks, SLO tracking, fejlbudgetter, spilledage og kaosøvelser til reduktion af MTTD/MTTR.

SCANDIC DATA

12. Energi, køling og bæredygtighed

Dobbelte forsyninger, A/B UPS, N+1 generatorer, indeslutning, flydende/adiabatisk/fri køling, varmegenvinding, vedvarende muligheder; PUE som effektivitets-KPI.

13. Stativlister

13.1 Manama - Core-racks

U Enhed Type/Model Mængde Forsyningsledning (A/B) Maks. effekt [W]
42 Patchpanel A LC/LC 144F 1 A -
41 Patchpanel B LC/LC 144F 1 B -
40 Rygsøjle 1 40/100G-switch 1U 1 A 600
39 Rygsøjle 2 40/100G-switch 1U 1 B 600
38 Mgmt-switch 1G/10G 1U 1 A 120
37-30 Blad 1-8 25/100G ToR 1U 8 A/B 8× 450
29-28 Firewall-klynge NGFW 2U 2 A/B 2× 800
27 IDS/IPS 1U 1 A 200
26 DDoS-kant 1U 1 B 200
25-24 Load Balancer 2× 1U 2 A/B 2× 250
A-01: Hovednetværk (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Computer/GPU (træning/inferens), CPU-noder, Mgmt/KVM A-03: Storage (controllere, hylder, backup-gateways)

13.2 Kuwait City - AZ-Racks

U Enhed Type/Model Mængde Forsyningsledning (A/B) Maks. effekt [W]
42-41 Patchpanel A/B - 2 A/B -
40-25 CPU-server 1U 12 A/B 12× 400
24-17 GPU-server (DR) 2U 4 A/B 4× 2000
16-15 Mgmt/KVM 1U 2 A/B 2× 80
K-01: AZ-netværk/leaf, firewalls, LB K-02: Beregning/DR K-03: Objekt/Backup (WORM/Immutable)

13.3 Singapore - kantstativ

U Enhed Type/Model Mængde Forsyningsledning (A/B) Maks. effekt [W]
42 Patch-panel - 1 A/B -
41-40 Edge-router 1U 2 A/B 2× 250
39-38 Kantafbryder 1U 2 A/B 2× 200
37-34 Cache/Proxy-noder 1U 4 A/B 4× 350
33-32 WAF/DDoS-apparat 1U 2 A/B 2× 300
31-28 Stream Gateway 1U 4 A/B 4× 300
S-01: Edge-routere/switches, cache/proxy, WAF/DDoS, stream-gateways

14 SLA-målværdier og KPI'er

Domæne Målværdi Bemærkning
Tilgængelighed ≥ 99,999 % Redundante zoner, automatisk failover
RPO ≤ 15 minutter Journalisering, replikering, snapshots
RTO ≤ 60 minutter Runbooks, gendannelse som kode
Sikkerhed MTTD < 5 minutter, MTTR < 60 minutter. Anomali-registrering, SOAR playbooks
Effektivitet PUE-optimering Flydende køling, fri køling
Tilgængelighed ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; kvartalsvise gennemgange/audits. Logisk visning af brugere/partnere via Edge (Singapore) og DCI til core fabric (Manama) og dataplatforme med replikering til AZ Kuwait City.

 SCANDIC DATA

15. Køreplan (12-24 måneder)

Bahrain og Kuwait samt Singapore tilbyder strategiske fordele for datacentret, Data Availability Zone og Edge-placeringen:
  • Geografisk placering: Centralt placeret mellem Europa, Asien og Afrika, ideelt for globale forbindelser.
  • Forretningsvenlighed: Ingen selskabsskat og 100 % udenlandsk ejerskab fremmer investeringer.
  • Regulatorisk støtte: TRA og Economic Development Board (EDB) tilbyder incitamenter som f.eks. den gyldne licens.
  • Infrastruktur: Sofistikerede strøm- og netværksforbindelser og en kvalificeret arbejdsstyrke.
  • Stabilitet: Som finanscentre (Bahrain og Kuwait) i Mellemøsten og Asien (Singapore) giver disse steder politisk og økonomisk sikkerhed.

IBM z17 Funktioner:

  • Telum® II-processor: Tilbyder høj computerkraft og on-chip AI-acceleration til inferensoperationer i realtid, f.eks. til analyse af læserdata.
  • Spyre™ Accelerator: Øger AI-computerkraften til generative modeller og metoder med flere modeller.
  • Sikkerhed: Hardwarebaseret kryptering og PCIe Cryptographic Coprocessor beskytter følsomme data.
  • Modstandsdygtighed: Integrerede funktioner sikrer kontinuerlig tilgængelighed.

LEGIER-datahukommelse:

Mediegruppen LEGIER bruger en filhostingtjeneste, der kan lagre store mængder data, som tilgås via HTTP/HTTPS og bruger begrebet buckets og objekter, som ligner mapper og filer, der er blevet etableret som standard. Her arbejder LEGIER sammen med AWS og bruger Elastic File System-netværksdrev og Glacier-arkivering af filer for at opnå en „99,999999999“ procent holdbarhed af data. Fordelen for LEGIER-mediegruppen er brugen af Elastic Block Store (EBS) og lagring på blokniveau, som EC2-instanser kan knyttes til. Fordelen ved denne teknologi er overførslen af store mængder data med tjenesten Snebold Harddisklager, hvor store datamængder kan kopieres og sendes tilbage med pakkeservice, hvorved overførslen af meget store datamængder til dine egne 115 dagblade (artikler, billeder, videoer, live stream) er meget hurtigere og lagres i databaser (enten SimpleDB eller Relational Database Service). Skalering af GPU/objekt/DCI/edge, udvidelse af anycast, hærdning af forsyningskæden (SLSA), automatisering af compliance, regelmæssige resiliens-/genstartøvelser.