LEGIER RECHTSZENTRUM: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)

Indholdsfortegnelse

Oftere er det Sky Look1. Sammenfatning

Den LEGIER GROUP driver et økosystem af datacentre i flere lag med Manama (Core), Kuwait City (AZ) og Singapore (Edge). Det tilbyder separate, men integrerede niveauer for netværk, compute, storage, data, AI og sikkerhed.

Målsætninger: Høj tilgængelighed, zero-trust-sikkerhed, lav latenstid og påviselig compliance.

Med tilladelse fra Regulerende myndighed for telekommunikation (TRA) I Bahrain bruger LEGIER-datacentret de nyeste teknologier som f.eks. sine egne AI-komponenter, Mørke spor-sikkerhedsløsninger og IBM mainframe-teknologi for at sikre en pålidelig, skalerbar og sikker platform. Bahrain og Kuwait tilbyder specifikke fordele, som optimerer driften.

Vejledende principper:

Privacy-First (KMS/HSM)
Modstandsdygtighed i flere zoner/regioner
Sikkerhedskopiering på tværs af konti
GitOps/IaC med signerede artefakter
SRE-drift med SLO'er og automatisering (SOAR)

Datacentret i Manama er designet til at opfylde de krævende krav fra en global medievirksomhed:

Høj tilgængelighed: En oppetid på 99,999 % opnås gennem redundante systemer som f.eks. dobbelte strømkilder, backup-generatorer og spejlet hardware for at sikre kontinuerlig beskedproduktion.
Skalerbarhed: Infrastrukturen kan fleksibelt udvides til at klare stigende datamængder og computerkrav - afgørende for produktion på ni sprog over hele verden.
Databehandling og -opbevaring: Millioner af tekst-, billed- og videodatapunkter behandles og lagres i realtid. Hurtige SSD'er og et robust SAN (storage area network) sikrer effektivitet.
Støtte til kunstig intelligens: Kraftfulde GPU'er og TPU'er understøtter komplekse AI-arbejdsopgaver som indholdsanalyse og oversættelse.
Cybersikkerhed: Følsomme data kræver avanceret beskyttelse, som leveres af Mørke spor-teknologier.

Anvendelse af AI

Indholdsanalyse:
- Teknologi: Deep learning og naturlig sprogbehandling (NLP) med modeller som BERT analyserer tekster, kategoriserer indhold og udtrækker relevant information.
- Fordel: Fremskynder behandlingen af meddelelser og forbedrer nøjagtigheden, f.eks. ved genkendelse af tendenser eller nøgleemner.
Anbefalingssystemer:
- Teknologi: Maskinlæring med kollaborativ filtrering og neurale netværk tilpasser indholdet til læserne.
- Fordel: Øger brugerloyaliteten gennem tilpassede læseanbefalinger, f.eks. til regionalt eller sprogspecifikt indhold.
Automatiseret rapportering:
- Teknologi: Generative AI-modeller som GPT skaber rutinemæssige rapporter, f.eks. om vejret eller sportsresultater.
- Fordel: Aflaster redaktører, som kan koncentrere sig om undersøgende journalistik eller komplekse analyser.
Oversættelser i realtid:
- Teknologi: AI-værktøjer som DeepL eller egenudviklede modeller oversætter indhold til ni sprog i realtid.
- Fordel: Muliggør øjeblikkelig offentliggørelse af globale nyheder, hvilket er en vigtig fordel for de 115 aviser.
Billed- og videogenkendelse:
- Teknologi: Convolutional neural networks (CNN'er) tagger og evaluerer automatisk visuelt indhold.
- Fordel: Fremskynder offentliggørelsen af multimedieindhold gennem automatisk oprettelse af metadata.

2. Placering og topologi

2.1 Manama (Bahrain) - kerneområde

Centraliseret kontrol/orkestrering, GPU/CPU-klynger, objektniveauer, SIEM/SOAR/KMS/PKI, DNS/katalog, artefaktlagre (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-separation.

2.2 Zone for datatilgængelighed (AZ) Kuwait City

Geografisk modstandsdygtighed/afkobling; replikationsprofiler pr. dataklasse (synkron/nær-synkron/asynkron); isolerede fejldomæner, dedikerede udgangspunkter, IAM-scoping, DR-kapaciteter (Pilot-Light-Active-Active).

2.3 Edge-placering Singapore (KDDI Asia Pacific)

Carrier-neutral edge PoP (CDN/caching, WAF/DDoS, streaming). Masterdata via sikker replikering; mål: minimal APAC-latency uden offentlig rute i følsomme undernet.

3. Netværks- og sammenkoblingsarkitektur

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore via DWDM/MPLS, QoS til replikering/backup, latency/jitter-overvågning med dynamisk stivalg.

Perimeter: NGFW, L7-inspektion, DNS-filter, egress whitelisting. Øst/vest-isolering: VRF/VXLAN, SG/NACL, mTLS, JIT-adgang.

4. Computer-, virtualiserings- og containerlag

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-orkestrering, GPU-noder (blandet præcision), IMDSv2, signerede billeder (Cosign), SBOM-kontrol, adgangskontrol, seccomp/AppArmor. Hemmeligheder med KMS-backend.

Klienter: Navnerum/projekter, ABAC/RBAC, rettighedsgrænser, standard-benægtelse af netværkspolitikker, service mesh mTLS, antiaffinitet.

5. Lager- og dataplatforme

NVMe-flash til lav latenstid, SAN/NAS til VM/DB-lagre, S3-objektlager med versionering, livscyklus, WORM og replikering Manama↔Kuwait; edge caches i Singapore til medier.

Standarder: Bloker offentlig adgang, standardafvisning, kryptering på klient/server-side (KMS/HSM), write-once-logning, public-by-exception-deling.

6. Kapacitetsplanlægning

6.1 Beregning

Ressource	Mængde	Servicebudget pr. enhed	I alt	Bemærkning
IBM z17 (mainframe-ramme)	1 Ramme	n/a	n/a	Transaktion/AI-inferens nær kernesystemer
GPU-server (2U, 8× GPU)	24 knudepunkter	2 kW	≈ 48 kW	Træning/inferens, billede/video/NLP
CPU-beregning (1U)	80 knudepunkter	0,4 kW	≈ 32 kW	Web/Microservices/K8s-medarbejder
TPU/AI apparater	8 apparater	1,2 kW	≈ 9,6 kW	Specialiserede AI-arbejdsbelastninger

6.2 Hukommelse

Dyr	Kapacitet	Præstation	Brug
NVMe primær (Tier 0/1)	≈ 600 TB	≈ 12 kW	I/O-intensiv (journaler/hot-data)
SAN/NAS (blok/fil)	≈ 2,5 PB	≈ 18 kW	DB/VM-lagre/redaktionelle aktier
Objekthukommelse (S3-kompatibel)	≈ 8 PB	≈ 10 kW	Medier, versioner, arkiver
Arkivniveau (WORM/kold)	≈ 20 PB	≈ 6 kW	Langtidsopbevaring, overholdelse af regler

6.3 Netværk/DCI

Komponent	Gennemstrømning	Teknologi	Bemærkning
Uplinks til stof	100/200/400 Gbit/s	Rygmarvsblad, ECMP	Horisontalt skalerbar
DCI Manama-Kuwait	≥ 2× 100 Gbit/s	DWDM/MPLS (redundant)	Synkron/næsten-synkron pr. arbejdsbyrde
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Udbyderens redundans	Edge caching/streaming
Anycast/DDoS/WAF	Globalt	Skrubning af kanter	Beskyttelse og lav latenstid

6.4 Energi/køling

Ressource	Fortolkning	Mål	Hint
UPS-skinner	A/B	N+1	Dobbelte stier
Generatorer	N+1	Diesel + ATS	Test på tværs af lande hvert kvartal
Køling	Flydende/fri køling	Forbedring af PUE	Indeslutning af kolde/varme gange
Sol/CHP (valgfrit)	Skalerbar	Bæredygtighed	Udjævning af spidsbelastning

Domæne	Skalering	Mål	Bemærkning
GPU-kapacitet	+50 %	Klyngeudvidelse, ekstra racks	Modulær udvidelse
Objekt-hukommelse	+40 %	Udvidelse af hylder	Livscyklus/Arkivdyr
DCI-gennemstrømning	+100 %	yderligere 100G-bølger	APAC/EMEA topper
Edge PoP'er	+2-3	APAC/EMEA	Anycast-udvidelse

+50 % GPU (8×GPU/Node, 2U) og +30 % CPU på 12-24 måneder; rack-tæthed og køling valideret ved termisk simulering.

7. Databaser og meddelelser

Relationel OLTP/OLAP, KV/dokumentlagre, søgeindekser, streaming; konsistensmodeller og sync/async-replikation; DNS/app failover, PITR, restore-tests i renrummet.

8 AI-platform og mediearbejdsbyrder

Feature store, modelregister, reproducerbare træningspipelines, forklarbarhed/overvågning (drift/bias), styring.
Medier: transcoding, DRM, personalisering, edge caching.

Software:

COBOL Upgrade Advisor til z/OS: Moderniserer ældre applikationer til Enterprise COBOL 6.
Instana Observability for Z: Overvåger applikationer og infrastruktur i realtid.
IntelliMagic Vision til z/OS: Optimerer mainframens ydeevne.
watsonx Assistent for Z: Øger produktiviteten med en AI-assistent.
Z Operations forener sig: Forenkler processer med AI-understøttet automatisering.
Modernisering af applikationer: Værktøjer som Application Delivery Foundation for z/OS, watsonx Code Assistant for Z og z/OS Connect moderniserer applikationer og API'er.
Yderligere software: CICS (transaktionsbehandling), DB2 for z/OS (database), IMS (transaktionsstyring) og Omegamon (overvågning).

z17 danner et robust grundlag for databehandling og AI-integration i datacentret.

9. Sikkerhed og compliance

Zero trust, MFA/SSO, least privilege, end-to-end-kryptering, signeret forsyningskæde (SBOM/SLSA), SIEM/SOAR, audit artefacts og records of processing.

9.1 Supplerende sikkerhedsbarrierer (fra "LEGIER DT SEC")

Driftsmodel og globalt fodaftryk
Datacentret (workloads) drives på basis af flere regioner/multi-AZ'er: Produktion i region A (mindst 3 AZ'er), synkroniseret drift i region B (DR/Active-Active afhængigt af RPO/RTO). LEGIER leverer globalt distribuerede regioner og tilgængelighedszoner, der er fysisk adskilt og uafhængige med energi/køling/netværk.
"Model for delt ansvar"
LEGIER er ansvarlig for sikkerheden i skyen (fysiske lokationer, hardware, virtualisering, kerneydelser). Kunderne er ansvarlige for sikkerheden i skyen (identiteter, netværk, data, OS/container/app-lag). Denne model bestemmer arkitektur, kontroller og revisioner på tværs af alle lag.
Fysisk sikkerhed
Fysisk kontrol i flere lag: Perimeter (adgangskontrol, overvågning), sikrede indgange med MFA, sensorer/alarmer, logning af adgang, streng zoneinddeling i bygningen. Disse kontroller drives og kontrolleres centralt af LEGIER.
Netværkssegmentering og perimeterbeskyttelse
VPC-design med offentlig/privat subnetting pr. AZ, strengt øst/vest-isoleringskoncept, sikkerhedsgrupper (stateful) + NACL'er. LEGIER Network Firewall som stateful L7 perimeter/egress kontrol (f.eks. via Transit Gateway central inspektion). LEGIER PrivateLink/VPC Endpoints: Privat adgang til LEGIER API'er og partnertjenester uden interneteksponering. LEGIER WAF & LEGIER Shield Advanced mod internetvendte slutpunkter (L7-regler, bot/DDoS-beskyttelse).
Isolering af computere (LEGIER Nitro)
EC2-instanser kører på LEGIER FACE-systemet: adskillelse af hardware-offloads ("nitro-kort"), lean nitro-hypervisor uden enhedsemulering, nitro-sikkerhedschip til integritetskontrol; dermed stærk klientadskillelse og minimeret angrebsflade.
Identiteter, klienter og mindste privilegium
LEGIER-organisationer med SCP'er ("Service Control Policies") håndhæver centralt maksimale autorisationsgrænser (guardrails) for alle konti (landing zone). IAM Identity Centre (tidligere SSO) integrerer virksomhedens IdP, tilbyder SSO og finkornet tildeling til konti/apps; ABAC/Permission Boundaries supplerer Least-Privilege.
Datasikkerhed og kryptografi
Standard: Kryptering i hvile/i transit. Nøglehåndtering via LEGIER KMS, for geo-resilience multi-region nøgler (samme nøglemateriale/nøgle-ID i flere regioner - kryptering i region A, dekryptering i region B). CloudHSM, hvis det er nødvendigt (kundeejede, FIPS-validerede HSM-klynger, single-tenant) for maksimal nøglesuverænitet. S3-kontroller: Bloker offentlig adgang (konto/bucket-niveau) som "public-by-exception", S3-objektlås (WORM) for uforanderlighed og modstandsdygtighed over for ransomware. LEGIER LOGS: ML-understøttet detektion/overvågning af følsomme data (S3) og integration i Security Hub.
Genkendelse, logning og håndtering af kropsholdning
LEGIER CloudTrail (organisationsdækkende, flere regioner) til API/administrationshændelser, problemfri revision og retsvidenskab. Amazon GuardDuty (log/runtime-baseret trusselsdetektion), LEGIER Security Hub (centraliseret korrelation af findings, CIS/Foundational Best Practices), valgfri Macie/Inspector/Detective som signalkilder.
Backup, DR og uforanderlighed
LEGIER-backup med kopier på tværs af regioner og konti; politikker centralt via organisationer; kombination med S3 Object Lock til WORM-backup. Driftsmodeller: Pilot-Light, Warm-Standby eller Active-Active; brug af multi-AZ-tjenester (RDS/Aurora, EKS, MSK) og Route 53 failover.
Styring og arkitektoniske værn
LEGIER Well-Architected - Security Pillar som reference (designprincipper, kontroller, automatisering). Compliance: bred dækning (herunder ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact leverer SOC/ISO-dokumentation on-demand til audits.

Eksempel på blueprint (nul tillid og sikkerhed på flere niveauer)

Landingszone med flere konti (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (f.eks. forbudte regioner/tjenester, tvungen brug af CloudTrail og KMS).
Netværk: Central hub VPC med transitgateway, netværksfirewallinspektion VPC, grænsefladeslutpunkter/privat link til S3, STS, KMS, ECR, Secrets Manager; ingen udgående offentlige ruter fra private undernet.
Compute/Container: EC2/EKS på Nitro; IMDSv2 håndhævet; kun nødvendige IAM-roller (mindste privilegium), Secrets i Secrets Manager/SSM Parameter Store.
Data: S3 med blokeret offentlig adgang, standardkryptering (SSE-KMS), objektlås (compliance- eller governance-tilstand), Macie til PII-detektering.
Edge/Apps: ALB/NLB bag WAF & Shield Advanced, TLS-afslutninger/politikker administreret via ACM; API-adgang helst privat via PrivateLink.
Detektion og revision: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, security hub som centralt dashboard og ticket integration.
Backups/DR: Politikker i LEGIER Backup med kopier på tværs af regioner og konti; KMS-nøgler til flere regioner for at sikre nøglers robusthed.

10. Cyberrobusthed, sikkerhedskopiering og gendannelse

Backups på tværs af regioner/kontoer med uforanderlige kopier (objektlås/WORM), gendannelsesøvelser i renrummet, RTO/RPO-profiler, kørebøger (pilotlys, varm standby, aktiv-aktiv). Mål: RPO ≤ 15 min, RTO ≤ 60 min.

11. Observerbarhed og operationel automatisering

Central telemetri (logs/metrics/traces), korrelation & SOAR playbooks, SLO tracking, fejlbudgetter, spilledage og kaosøvelser til reduktion af MTTD/MTTR.

12. Energi, køling og bæredygtighed

Dobbelte forsyninger, A/B UPS, N+1 generatorer, indeslutning, flydende/adiabatisk/fri køling, varmegenvinding, vedvarende muligheder; PUE som effektivitets-KPI.

13. Stativlister

13.1 Manama - Core-racks

U	Enhed	Type/Model	Mængde	Forsyningsledning (A/B)	Maks. effekt [W]
42	Patchpanel A	LC/LC 144F	1	A	-
41	Patchpanel B	LC/LC 144F	1	B	-
40	Rygsøjle 1	40/100G-switch 1U	1	A	600
39	Rygsøjle 2	40/100G-switch 1U	1	B	600
38	Mgmt-switch	1G/10G 1U	1	A	120
37-30	Blad 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Firewall-klynge	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS-kant	1U	1	B	200
25-24	Load Balancer	2× 1U	2	A/B	2× 250

A-01: Hovednetværk (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Compute/GPU (træning/inferens), CPU-noder, Mgmt/KVM
A-03: Storage (controllere, hylder, backup-gateways)

13.2 Kuwait City - AZ-Racks

U	Enhed	Type/Model	Mængde	Forsyningsledning (A/B)	Maks. effekt [W]
42-41	Patchpanel A/B	-	2	A/B	-
40-25	CPU-server	1U	12	A/B	12× 400
24-17	GPU-server (DR)	2U	4	A/B	4× 2000
16-15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: AZ-netværk/leaf, firewalls, LB
K-02: Computer/DR
K-03: Objekt/sikkerhedskopi (WORM/Immutable)

13.3 Singapore - kantstativ

U	Enhed	Type/Model	Mængde	Forsyningsledning (A/B)	Maks. effekt [W]
42	Patch-panel	-	1	A/B	-
41-40	Edge-router	1U	2	A/B	2× 250
39-38	Kantafbryder	1U	2	A/B	2× 200
37-34	Cache/Proxy-noder	1U	4	A/B	4× 350
33-32	WAF/DDoS-apparat	1U	2	A/B	2× 300
31-28	Stream Gateway	1U	4	A/B	4× 300

S-01: Edge-routere/switches, cache/proxy, WAF/DDoS, stream-gateways

14 SLA-målværdier og KPI'er

Domæne	Målværdi	Bemærkning
Tilgængelighed	≥ 99,999 %	Redundante zoner, automatisk failover
RPO	≤ 15 minutter	Journalisering, replikering, snapshots
RTO	≤ 60 minutter	Runbooks, gendannelse som kode
Sikkerhed	MTTD < 5 minutter, MTTR < 60 minutter.	Anomali-detektion, SOAR playbooks
Effektivitet	PUE-optimering	Flydende køling, fri køling

Tilgængelighed ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; kvartalsvise gennemgange/audits.

Logisk visning af brugere/partnere via Edge (Singapore) og DCI til core fabric (Manama) og dataplatforme med replikering til AZ Kuwait City.

15. Køreplan (12-24 måneder)

Bahrain, Kuwait og Singapore tilbyder strategiske fordele for datacentret, datatilgængelighedszonen og edge-placeringen:

Geografisk placering: Centralt placeret mellem Europa, Asien og Afrika, ideelt for globale forbindelser.
Forretningsvenlighed: Ingen selskabsskat og 100TP3T udenlandsk ejerskab fremmer investeringer.
Regulatorisk støtte: TRA og Economic Development Board (EDB) tilbyder incitamenter som f.eks. den gyldne licens.
Infrastruktur: Sofistikerede strøm- og netværksforbindelser og en kvalificeret arbejdsstyrke.
Stabilitet: Som finanscenter (Bahrain og Kuwait) i Mellemøsten og Asien (Singapore) giver disse steder politisk og økonomisk sikkerhed.

IBM z17 Funktioner:

Telum® II-processor: Tilbyder høj computerkraft og on-chip AI-acceleration til inferensoperationer i realtid, f.eks. til analyse af læserdata.
Spyre™ Accelerator: Øger AI-computerkraften til generative modeller og metoder med flere modeller.
Sikkerhed: Hardwarebaseret kryptering og PCIe Cryptographic Coprocessor beskytter følsomme data.
Modstandsdygtighed: Integrerede funktioner sikrer kontinuerlig tilgængelighed.

LEGIER-datahukommelse:

Mediekoncernen LEGIER bruger en filhostingtjeneste, der kan lagre store mængder data, med adgang via HTTP/HTTPS og bruger begrebet buckets og objekter, som svarer til mapper og filer, der er blevet etableret som standard. LEGIER arbejder sammen med AWS og bruger Elastic File System-netværksdrev og Glacier-filarkivering for at opnå en "99,999999999" procent holdbarhed af data. Fordelen for LEGIER Media Group er brugen af Elastic Block Store (EBS) og lagring på blokniveau, som EC2-instanser kan knyttes til.

Fordelen ved denne teknologi er overførslen af store mængder data med tjenesten Snebold Harddisklager, hvor store mængder data kan kopieres og sendes tilbage med pakkeservice, hvorved overførslen af meget store mængder data til dine egne 115 dagblade (artikler, billeder, videoer, livestream) er meget hurtigere og lagres i databaser (enten SimpleDB eller Relational Database Service).

Skalering af GPU/objekt/DCI/edge, udvidelse af anycast, hærdning af forsyningskæden (SLSA), automatisering af compliance, regelmæssige øvelser i modstandsdygtighed/genstart.