LEGIER RECHTSZENTRUM: Manama (Bahréin) - Zona de disponibilidad de datos Kuwait City - Edge location Singapur (KDDI Asia Pacific)
Índice
Más a menudo, Sky Look1. Resumen ejecutivo
En GRUPO LEGIER opera un ecosistema de centros de datos multinivel con Manama (Core), Kuwait City (AZ) y Singapur (Edge). Ofrece niveles separados pero integrados de red, computación, almacenamiento, datos, inteligencia artificial y seguridad.
Objetivos: Alta disponibilidad, seguridad de confianza cero, baja latencia y cumplimiento demostrable.
Con la autorización del Autoridad Reguladora de las Telecomunicaciones (TRA) en Bahréin, el centro de datos de LEGIER utiliza tecnologías punteras, como sus propios componentes de IA, Darktrace-soluciones de seguridad y Mainframe de IBM-tecnología para garantizar una plataforma fiable, escalable y segura. Bahréin y Kuwait ofrecen ventajas específicas de ubicación que optimizan las operaciones.
Principios rectores:
- Privacidad ante todo (KMS/HSM)
- Resistencia multizona/región
- Copias de seguridad cruzadas
- GitOps/IaC con artefactos firmados
- Funcionamiento del SRE con SLO y automatización (SOAR)
El centro de datos de Manama está diseñado para satisfacer los exigentes requisitos de una empresa mundial de medios de comunicación:
- Alta disponibilidad: Un tiempo de actividad del 99,999 % se consigue mediante sistemas redundantes como fuentes de alimentación dobles, generadores de reserva y hardware duplicado para garantizar la producción continua de mensajes.
- Escalabilidad: La infraestructura puede ampliarse con flexibilidad para hacer frente a volúmenes de datos y requisitos informáticos cada vez mayores, algo esencial para la producción en nueve idiomas en todo el mundo.
- Procesamiento y almacenamiento de datos: Millones de puntos de datos de texto, imagen y vídeo se procesan y almacenan en tiempo real. Las rápidas unidades SSD y una sólida red de área de almacenamiento (SAN) garantizan la eficiencia.
- Apoyo a la IA: Las potentes GPU y TPU soportan cargas de trabajo de IA complejas como el análisis de contenidos y la traducción.
- Ciberseguridad: Los datos sensibles requieren una protección avanzada, que se consigue con Darktrace-tecnologías.
Casos de uso de la IA
- Análisis del contenido:
- Tecnología: El aprendizaje profundo y el procesamiento del lenguaje natural (PLN) con modelos como BERT analizan textos, categorizan contenidos y extraen información relevante.
- Beneficio: Acelera el tratamiento de los mensajes y mejora la precisión, por ejemplo, al reconocer tendencias o temas clave.
- Sistemas de recomendación:
- Tecnología: El aprendizaje automático con filtrado colaborativo y redes neuronales personaliza los contenidos para los lectores.
- Beneficio: Aumenta la fidelidad de los usuarios mediante recomendaciones de lectura personalizadas, por ejemplo para contenidos específicos de una región o idioma.
- Informes automatizados:
- Tecnología: Los modelos generativos de IA, como GPT, crean informes rutinarios, por ejemplo sobre el tiempo o los resultados deportivos.
- Beneficio: Alivia a los redactores, que pueden concentrarse en el periodismo de investigación o en análisis complejos.
- Traducciones en tiempo real:
- Tecnología: Herramientas de IA como DeepL o modelos propios traducen contenidos a nueve idiomas en tiempo real.
- Beneficio: Permite la publicación inmediata de noticias globales, una ventaja clave para los 115 periódicos.
- Reconocimiento de imágenes y vídeos:
- Tecnología: Las redes neuronales convolucionales (CNN) etiquetan y evalúan automáticamente los contenidos visuales.
- Beneficio: Acelera la publicación de contenidos multimedia mediante la creación automatizada de metadatos.
2. localización y topología
2.1 Manama (Bahréin) - Región central
Control/orquestación centralizado, clústeres GPU/CPU, niveles de objetos, SIEM/SOAR/KMS/PKI, DNS/directorio, repositorios de artefactos (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, separación VRF.
2.2 Zona de Disponibilidad de Datos (AZ) Ciudad de Kuwait
Resiliencia/desacoplamiento geográfico; perfiles de replicación por clase de datos (síncrono/casi síncrono/asíncrono); dominios de error aislados, puntos de salida dedicados, alcance IAM, capacidades DR (Piloto-Luz-Activo-Activo).
2.3 Localización de bordes Singapur (KDDI Asia Pacific)
PoP de borde neutro (CDN/caching, WAF/DDoS, streaming). Datos maestros mediante replicación segura; objetivo: latencia APAC mínima sin ruta pública en subredes sensibles.
3. arquitectura de red e interconexión
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapur vía DWDM/MPLS, QoS para replicación/respaldo, monitorización de latencia/jitter con selección dinámica de ruta.
Perímetro: NGFW, inspección L7, filtro DNS, listas blancas de salida. Aislamiento este/oeste: VRF/VXLAN, SG/NACL, mTLS, acceso JIT.
4. capa de computación, virtualización y contenedores
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orquestación de máquinas virtuales, nodos GPU (precisión mixta), IMDSv2, imágenes firmadas (Cosign), comprobación SBOM, controlador de admisión, seccomp/AppArmor. Secretos con backend KMS.
Clientes: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.
5. almacenamiento y plataformas de datos
Flash NVMe para baja latencia, SAN/NAS para almacenes VM/DB, almacén de objetos S3 con versionado, ciclo de vida, WORM y replicación Manama↔Kuwait; cachés de borde en Singapur para medios.
Estándares: Bloqueo de acceso público, denegación por defecto, cifrado del lado del cliente/servidor (KMS/HSM), registro de escritura única, recursos compartidos públicos por excepción.
6. planificación de la capacidad
6.1 Calcular
| Recursos | Cantidad | Presupuesto de servicio por unidad | Total | Observación |
|---|---|---|---|---|
| IBM z17 (bastidor de mainframe) | 1 Marco | n/a | n/a | Inferencia de transacciones/AI cerca de los sistemas centrales |
| Servidor GPU (2U, 8× GPU) | 24 nodos | 2 kW | ≈ 48 kW | Formación/inferencia, imagen/vídeo/NLP |
| CPU informática (1U) | 80 nodos | 0,4 kW | ≈ 32 kW | Web/Microservicios/K8s Worker |
| Aparatos TPU/AI | 8 Aparatos | 1,2 kW | ≈ 9,6 kW | Cargas de trabajo de IA especializadas |
6.2 Memoria
| Animales | Capacidad | Rendimiento | Utilice |
|---|---|---|---|
| NVMe primario (Tier 0/1) | ≈ 600 TB | ≈ 12 kW | Uso intensivo de E/S (revistas/datos) |
| SAN/NAS (bloque/archivo) | ≈ 2,5 PB | ≈ 18 kW | DB/VM almacenes/compartimentos editoriales |
| Memoria de objetos (compatible con S3) | ≈ 8 PB | ≈ 10 kW | Medios, versiones, archivos |
| Nivel de archivo (WORM/frío) | ≈ 20 PB | ≈ 6 kW | Almacenamiento a largo plazo, cumplimiento |
6.3 Red/DCI
| Componente | Rendimiento | Tecnología | Observación |
|---|---|---|---|
| Enlaces ascendentes de tejido | 100/200/400 Gbit/s | Spine-Leaf, ECMP | Escalable horizontalmente |
| DCI Manama-Kuwait | ≥ 2× 100 Gbit/s | DWDM/MPLS (redundante) | Sincrónico/casi sincrónico por carga de trabajo |
| ICD Manama-Singapur | ≥ 2× 100 Gbit/s | Redundancia de proveedores | Almacenamiento en caché/streaming |
| Anycast/DDoS/WAF | Global | Fregado de bordes | Protección y baja latencia |
6.4 Energía/refrigeración
| Recursos | Interpretación | Objetivo | Sugerencia |
|---|---|---|---|
| Carriles SAI | A/B | N+1 | Doble vía |
| Generadores | N+1 | Diesel + ATS | Pruebas entre países trimestrales |
| Refrigeración | Refrigeración líquida/libre | Mejora del PUE | Contención de pasillos fríos/calientes |
| Solar/CHP (opcional) | Escalable | Sostenibilidad | Suavización de picos de carga |
| Dominio | Escala | Medida | Observación |
|---|---|---|---|
| Capacidad de la GPU | +50 % | Ampliación del clúster, bastidores adicionales | Ampliación modular |
| Memoria de objetos | +40 % | Extensiones de estanterías | Ciclo de vida/Archivo animal |
| Rendimiento DCI | +100 % | ondas 100G adicionales | Picos APAC/EMEA |
| PdP de borde | +2-3 | APAC/EMEA | Extensión Anycast |
+50 % GPU (8×GPU/Node, 2U) y +30 % CPU en 12-24 meses; densidades de rack y refrigeración validadas mediante simulación térmica.
7. bases de datos y mensajería
OLTP/OLAP relacional, KV/almacenes de documentos, índices de búsqueda, streaming; modelos de coherencia y replicación sync/async; DNS/app failover, PITR, pruebas de restauración en sala blanca.
8 plataformas de IA y cargas de trabajo de medios de comunicación
- Almacén de características, registro de modelos, conductos de formación reproducibles, explicabilidad/seguimiento (deriva/desviación), gobernanza.
- Medios: transcodificación, DRM, personalización, almacenamiento en caché.
Software:
- Asesor de actualización de COBOL para z/OS: Moderniza las aplicaciones heredadas para Enterprise COBOL 6.
- Instana Observabilidad para Z: Supervisa las aplicaciones y la infraestructura en tiempo real.
- IntelliMagic Vision para z/OS: Optimiza el rendimiento del mainframe.
- watsonx Asistente para Z: Aumenta la productividad con un asistente de IA.
- Operaciones Z, uníos: Simplifica los procesos con la automatización asistida por IA.
- Modernización de aplicaciones: Herramientas como Application Delivery Foundation para z/OS, watsonx Code Assistant para Z y z/OS Connect modernizan las aplicaciones y las API.
- Más software: CICS (procesamiento de transacciones), DB2 para z/OS (base de datos), IMS (gestión de transacciones) y Omegamon (supervisión).
El z17 constituye una base sólida para el procesamiento de datos y la integración de IA en el centro de datos.
9. seguridad y cumplimiento
Confianza cero, MFA/SSO, mínimos privilegios, cifrado de extremo a extremo, cadena de suministro firmada (SBOM/SLSA), SIEM/SOAR, artefactos de auditoría y registros de procesamiento.
9.1 Barreras de seguridad suplementarias (de "LEGIER DT SEC")
- Modelo operativo y presencia mundial
El centro de datos (cargas de trabajo) funciona sobre una base multirregión / multi-AZ: Producción en la Región A (al menos 3 AZs), operación sincronizada en la Región B (DR/Activo-Activo dependiendo de RPO/RTO). LEGIER proporciona regiones y zonas de disponibilidad distribuidas globalmente que están separadas físicamente y son independientes con energía/refrigeración/red. - "Modelo de responsabilidad compartida"
LEGIER es responsable de la seguridad de la nube (ubicaciones físicas, hardware, virtualización, servicios básicos). Los clientes son responsables de la seguridad en la nube (identidades, red, datos, SO/contenedor/capa de aplicaciones). Este modelo determina la arquitectura, los controles y las auditorías en todas las capas. - Seguridad física
Controles físicos de varios niveles: Perímetro (controles de acceso, vigilancia), entradas seguras con MFA, sensores/alarmas, registro de accesos, zonificación estricta en el edificio. LEGIER gestiona y comprueba estos controles de forma centralizada. - Segmentación de redes y protección perimetral
Diseño de VPC con subredes públicas/privadas por AZ, concepto estricto de aislamiento este/oeste, grupos de seguridad (stateful) + NACLs. Cortafuegos de red LEGIER como control perimetral/de entrada L7 con estado (por ejemplo, mediante inspección central de pasarela de tránsito). LEGIER PrivateLink/VPC Endpoints: acceso privado a las API de LEGIER y a los servicios de sus socios sin exposición a Internet. LEGIER WAF y LEGIER Shield Advanced contra puntos finales con acceso a Internet (reglas L7, protección contra bots/DDoS). - Aislamiento informático (LEGIER Nitro)
Las instancias EC2 se ejecutan en el sistema LEGIER FACE: separación de las descargas de hardware ("tarjetas nitro"), hipervisor nitro ligero sin emulación de dispositivos, chip de seguridad nitro para comprobaciones de integridad; por tanto, fuerte separación de clientes y superficie de ataque minimizada. - Identidades, clientes y privilegios mínimos
Las organizaciones LEGIER con SCP ("Service Control Policies") aplican de forma centralizada límites máximos de autorización (guardrails) para todas las cuentas (landing zone). El Centro de Identidad IAM (antes SSO) integra el IdP de la empresa, ofrece SSO y asignación de grano fino a cuentas/aplicaciones; ABAC/Límites de Permiso complementan el Mínimo Privilegio. - Seguridad de datos y criptografía
Norma: cifrado en reposo/en tránsito. Gestión de claves mediante LEGIER KMS, para claves multirregión de georresiliencia (mismo material de clave/identificador de clave en varias regiones: cifrado en la región A, descifrado en la región B). CloudHSM si es necesario (clústeres HSM propiedad del cliente, validados por FIPS, de un solo inquilino) para la máxima soberanía de claves. Controles S3: Bloqueo del acceso público (nivel de cuenta/bucket) como "público por excepción", bloqueo de objetos S3 (WORM) para inmutabilidad y resistencia al ransomware. LEGIER LOGS: Detección/monitorización de datos sensibles (S3) con soporte ML e integración en Security Hub. - Reconocimiento, registro y gestión de posturas
LEGIER CloudTrail (en toda la organización, multirregión) para eventos de API/gestión, auditoría y análisis forense sin fisuras. Amazon GuardDuty (detección de amenazas basada en log/runtime), LEGIER Security Hub (correlación centralizada de hallazgos, CIS/mejores prácticas fundamentales), Macie/Inspector/Detective opcionales como fuentes de señales. - Copias de seguridad, recuperación ante desastres e inmutabilidad
Copia de seguridad LEGIER con copias entre regiones y cuentas; políticas centralizadas a través de organizaciones; combinación con S3 Object Lock para copia de seguridad WORM. Modelos operativos: Pilot-Light, Warm-Standby o Active-Active; uso de servicios multi-AZ (RDS/Aurora, EKS, MSK) y Route 53 failover. - Gobernanza y barandillas arquitectónicas
LEGIER Well-Architected: pilar de seguridad como referencia (principios de diseño, controles, automatización). Cumplimiento: amplia cobertura (incluyendo ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP...); LEGIER Artifact proporciona pruebas SOC/ISO bajo demanda para auditorías.
Ejemplo de proyecto (confianza cero y seguridad multinivel)
- Zona de aterrizaje multicuenta (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (por ejemplo, regiones/servicios prohibidos, uso forzado de CloudTrail y KMS).
- Red: VPC de concentrador central con pasarela de tránsito, VPC de inspección de cortafuegos de red, puntos finales de interfaz/PrivateLink a S3, STS, KMS, ECR, Secrets Manager; sin rutas públicas salientes desde subredes privadas.
- Compute/Container: EC2/EKS en Nitro; IMDSv2 aplicado; sólo roles IAM necesarios (mínimo privilegio), Secretos en Secrets Manager/SSM Parameter Store.
- Datos: S3 con acceso público en bloque, cifrado por defecto (SSE-KMS), bloqueo de objetos (modo de cumplimiento o gobernanza), Macie para detección de PII.
- Edge/Apps: ALB/NLB detrás de WAF y Shield Advanced, terminaciones/políticas TLS gestionadas a través de ACM; acceso API preferiblemente privado a través de PrivateLink.
- Detección y auditoría: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, security hub como dashboard central e integración de tickets.
- Copias de seguridad/DR: políticas en LEGIER Backup con copias entre regiones y entre cuentas; claves multirregión KMS para resiliencia de claves.
10. ciberresiliencia, copias de seguridad y recuperación
Copias de seguridad entre regiones/cuentas con copias inalterables (bloqueo de objetos/WORM), ejercicios de restauración en la sala blanca, perfiles RTO/RPO, runbooks (piloto, warm standby, activo-activo). Objetivo: RPO ≤ 15 min, RTO ≤ 60 min.
11. observabilidad y automatización operativa
Telemetría central (registros/métricas/trazas), correlación y libros de jugadas SOAR, seguimiento de SLO, presupuestos de errores, días de juego y simulacros de caos para la reducción de MTTD/MTTR.
12. energía, refrigeración y sostenibilidad
Doble alimentación, SAI A/B, generadores N+1, contención, refrigeración líquida/adiabática/libre, recuperación de calor, opciones renovables; PUE como KPI de eficiencia.
13. listas de estanterías
13.1 Manama - Bastidores centrales
| U | Dispositivo | Tipo/Modelo | Cantidad | Línea de alimentación (A/B) | Potencia máxima [W] |
|---|---|---|---|---|---|
| 42 | Panel de conexiones A | LC/LC 144F | 1 | A | - |
| 41 | Panel de conexiones B | LC/LC 144F | 1 | B | - |
| 40 | Lomo 1 | Conmutador 40/100G 1U | 1 | A | 600 |
| 39 | Lomo 2 | Conmutador 40/100G 1U | 1 | B | 600 |
| 38 | Conmutador Mgmt | 1G/10G 1U | 1 | A | 120 |
| 37-30 | Hoja 1-8 | 25/100G ToR 1U | 8 | A/B | 8× 450 |
| 29-28 | Clúster de cortafuegos | NGFW 2U | 2 | A/B | 2× 800 |
| 27 | IDS/IPS | 1U | 1 | A | 200 |
| 26 | DDoS Edge | 1U | 1 | B | 200 |
| 25-24 | Equilibrador de carga | 2× 1U | 2 | A/B | 2× 250 |
A-01: Red central (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Ordenador/GPU (formación/inferencia), nodos CPU, Gestión/KVM
A-03: Almacenamiento (controladores, estanterías, pasarelas de copia de seguridad)
13,2 Ciudad de Kuwait - AZ-Racks
| U | Dispositivo | Tipo/Modelo | Cantidad | Línea de alimentación (A/B) | Potencia máxima [W] |
|---|---|---|---|---|---|
| 42-41 | Panel de conexiones A/B | - | 2 | A/B | - |
| 40-25 | Servidor CPU | 1U | 12 | A/B | 12× 400 |
| 24-17 | Servidor GPU (DR) | 2U | 4 | A/B | 4× 2000 |
| 16-15 | Gestión/KVM | 1U | 2 | A/B | 2× 80 |
K-01: Red AZ/hoja, cortafuegos, LB
K-02: Ordenador/DR
K-03: Objeto/Copia de seguridad (WORM/Inmutable)
13,3 Singapur - Estantería de borde
| U | Dispositivo | Tipo/Modelo | Cantidad | Línea de alimentación (A/B) | Potencia máxima [W] |
|---|---|---|---|---|---|
| 42 | Panel de conexiones | - | 1 | A/B | - |
| 41-40 | Enrutador de borde | 1U | 2 | A/B | 2× 250 |
| 39-38 | Interruptor de borde | 1U | 2 | A/B | 2× 200 |
| 37-34 | Nodos caché/proxy | 1U | 4 | A/B | 4× 350 |
| 33-32 | Dispositivo WAF/DDoS | 1U | 2 | A/B | 2× 300 |
| 31-28 | Pasarela de flujos | 1U | 4 | A/B | 4× 300 |
S-01: Enrutadores/conmutadores de borde, caché/proxy, WAF/DDoS, pasarelas de flujo
14 Valores objetivo de SLA y KPI
| Dominio | Valor objetivo | Observación |
|---|---|---|
| Disponibilidad | ≥ 99,999 % | Zonas redundantes, conmutación automática por error |
| OPR | ≤ 15 minutos | Journaling, replicación, instantáneas |
| RTO | ≤ 60 minutos | Runbooks, Recuperación como código |
| Seguridad | MTTD < 5 min., MTTR < 60 min. | Detección de anomalías, SOAR playbooks |
| Eficacia | Optimización del PUE | Refrigeración líquida, refrigeración libre |
Disponibilidad ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; revisiones/auditorías trimestrales.
Visión lógica de los usuarios/socios a través de Edge (Singapur) y DCI en el tejido central (Manama) y las plataformas de datos, con replicación en AZ Kuwait City.
15. hoja de ruta (12-24 meses)
Bahréin, Kuwait y Singapur ofrecen ventajas estratégicas para el centro de datos, la zona de disponibilidad de datos y la ubicación de borde:
- Situación geográfica: Situada en el centro entre Europa, Asia y África, ideal para la conectividad mundial.
- Facilidad para las empresas: La ausencia de impuestos de sociedades y el 100 % de propiedad extranjera fomentan la inversión.
- Apoyo normativo: La TRA y la Junta de Desarrollo Económico (EDB) ofrecen incentivos como la Licencia Dorada.
- Infraestructura: Conexiones eléctricas y de red sofisticadas y una mano de obra cualificada.
- Estabilidad: Como centro financiero (Bahréin y Kuwait) en Oriente Medio y Asia (Singapur), estos lugares ofrecen seguridad política y económica.
IBM z17 Características:
- Procesador Telum® II: Ofrece alta potencia de cálculo y aceleración de IA en chip para operaciones de inferencia en tiempo real, por ejemplo, para analizar datos de lectores.
- Acelerador Spyre™: Aumenta la potencia de cálculo de la IA para modelos generativos y métodos multimodelo.
- Seguridad: El cifrado basado en hardware y el coprocesador criptográfico PCIe protegen los datos confidenciales.
- Resiliencia: Las funciones integradas garantizan una disponibilidad continua.
Memoria de datos LEGIER:
El grupo mediático LEGIER utiliza un servicio de alojamiento de archivos que puede almacenar grandes cantidades de datos, con acceso a través de HTTP/HTTPS y utiliza el concepto de buckets y objetos, que son similares a los directorios y archivos que se han establecido como estándar. LEGIER trabaja en colaboración con AWS, utilizando unidades de red Elastic File System y archivado de archivos Glacier para lograr una durabilidad de los datos del "99,999999999" por ciento. La ventaja para LEGIER Media Group es el uso de Elastic Block Store (EBS) y el almacenamiento a nivel de bloque al que se pueden conectar instancias EC2.
La ventaja de esta tecnología es la transferencia de grandes cantidades de datos con el servicio Bola de nieve Almacenamiento en disco duro en el que se pueden copiar grandes cantidades de datos y enviarlos de vuelta por servicio de paquetería, con lo que la transferencia de cantidades muy grandes de datos a sus propios 115 diarios (artículos, imágenes, vídeos, retransmisiones en directo) es mucho más rápida y se almacenan en bases de datos (ya sean SimpleDB o Relational Database Service).
Ampliación de GPU/objeto/DCI/borde, expansión de anycast, endurecimiento de la cadena de suministro (SLSA), automatización del cumplimiento, ejercicios periódicos de resiliencia/reinicio.
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska