LEGIER RECHTSZENTRUM: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)
Indice dei contenuti
Più spesso, Sky Look1. Sintesi
Il GRUPPO LEGIER gestisce un ecosistema di data center multi-tier con Manama (Core), Kuwait City (AZ) e Singapore (Edge). Offre livelli separati ma integrati per rete, calcolo, storage, dati, AI e sicurezza.
Obiettivi: Alta disponibilità, sicurezza zero-trust, bassa latenza e conformità dimostrabile.
Con l'autorizzazione del Autorità di regolamentazione delle telecomunicazioni (TRA) in Bahrain, il data center LEGIER utilizza tecnologie all'avanguardia, come i propri componenti AI, Darktrace-soluzioni di sicurezza e Mainframe IBM-per garantire una piattaforma affidabile, scalabile e sicura. Il Bahrein e il Kuwait offrono vantaggi specifici in termini di ubicazione che ottimizzano le operazioni.
Principi guida:
- Priorità alla privacy (KMS/HSM)
- Resilienza multi-AZ/regione
- Backup incrociato degli account
- GitOps/IaC con artefatti firmati
- Funzionamento SRE con SLO e automazione (SOAR)
Il centro dati di Manama è stato progettato per soddisfare le esigenze di una società di media globale:
- Alta disponibilità: Un tempo di attività del 99,999 % è ottenuto grazie a sistemi ridondanti come doppie fonti di alimentazione, generatori di backup e hardware in mirroring per garantire la produzione continua di messaggi.
- Scalabilità: L'infrastruttura può essere ampliata in modo flessibile per far fronte all'aumento dei volumi di dati e dei requisiti di elaborazione, essenziale per la produzione in nove lingue in tutto il mondo.
- Elaborazione e archiviazione dei dati: Milioni di dati di testo, immagini e video vengono elaborati e archiviati in tempo reale. Le veloci unità SSD e una robusta rete SAN (Storage Area Network) garantiscono l'efficienza.
- Supporto AI: Le potenti GPU e TPU supportano carichi di lavoro AI complessi come l'analisi dei contenuti e la traduzione.
- Cybersecurity: I dati sensibili richiedono una protezione avanzata, che viene fornita da Darktrace-tecnologie.
Casi d'uso dell'IA
- Analisi del contenuto:
- Tecnologia: L'apprendimento profondo e l'elaborazione del linguaggio naturale (NLP) con modelli come il BERT analizzano i testi, categorizzano i contenuti ed estraggono le informazioni rilevanti.
- Benefici: Accelera l'elaborazione dei messaggi e migliora l'accuratezza, ad esempio nel riconoscimento di tendenze o argomenti chiave.
- Sistemi di raccomandazione:
- Tecnologia: L'apprendimento automatico con filtri collaborativi e reti neurali personalizza i contenuti per i lettori.
- Benefici: Aumenta la fidelizzazione degli utenti grazie a consigli di lettura personalizzati, ad esempio per contenuti regionali o specifici per la lingua.
- Reporting automatizzato:
- Tecnologia: I modelli di intelligenza artificiale generativa, come il GPT, creano rapporti di routine, come ad esempio i risultati meteorologici o sportivi.
- Benefici: Alleggerisce i redattori che possono concentrarsi sul giornalismo d'inchiesta o su analisi complesse.
- Traduzioni in tempo reale:
- Tecnologia: Strumenti di intelligenza artificiale come DeepL o i nostri modelli traducono i contenuti in nove lingue in tempo reale.
- Benefici: Consente la pubblicazione immediata di notizie globali, un vantaggio fondamentale per i 115 giornali.
- Riconoscimento di immagini e video:
- Tecnologia: Le reti neurali convoluzionali (CNN) etichettano e valutano automaticamente i contenuti visivi.
- Benefici: Accelera la pubblicazione di contenuti multimediali grazie alla creazione automatica di metadati.
2. ubicazione e topologia
2.1 Manama (Bahrain) - Regione centrale
Controllo/orchestrazione centralizzata, cluster GPU/CPU, livelli di oggetti, SIEM/SOAR/KMS/PKI, DNS/directory, repository di artefatti (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, separazione VRF.
2.2 Zona di disponibilità dei dati (AZ) Kuwait City
Resilienza geografica/disaccoppiamento; profili di replica per classe di dati (sincrono/vicino-sincrono/asincrono); domini di errore isolati, punti di uscita dedicati, scoping IAM, capacità di DR (Pilot-Light-Active-Active).
2,3 Posizione dei bordi Singapore (KDDI Asia Pacific)
PoP edge neutrale rispetto al carrier (CDN/caching, WAF/DDoS, streaming). Dati master tramite replica sicura; obiettivo: latenza APAC minima senza percorso pubblico in sottoreti sensibili.
3. architettura di rete e interconnessione
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore via DWDM/MPLS, QoS per repliche/backup, monitoraggio di latenza/jitter con selezione dinamica del percorso.
Perimetro: NGFW, ispezione L7, filtro DNS, whitelisting in uscita. Isolamento est/ovest: VRF/VXLAN, SG/NACL, mTLS, accesso JIT.
4. livello di calcolo, virtualizzazione e container
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orchestrazione di macchine virtuali, nodi GPU (a precisione mista), IMDSv2, immagini firmate (Cosign), controllo SBOM, admission controller, seccomp/AppArmor. Segreti con backend KMS.
Clienti: Namespaces/Projects, ABAC/RBAC, confini dei permessi, politiche di rete con negazione predefinita, Service Mesh mTLS, Anti-Affinity.
5. piattaforme di archiviazione e dati
Flash NVMe per una bassa latenza, SAN/NAS per gli archivi VM/DB, archivio di oggetti S3 con versioning, ciclo di vita, WORM e replica Manama↔Kuwait; cache edge a Singapore per i supporti.
Standard: Blocco dell'accesso pubblico, negazione predefinita, crittografia lato client/server (KMS/HSM), registrazione write-once, condivisioni pubbliche per eccezione.
6. pianificazione della capacità
6.1 Calcolo
| Risorse | Quantità | Budget di servizio per unità | Totale | Osservazione |
|---|---|---|---|---|
| IBM z17 (mainframe) | 1 Cornice | n/a | n/a | Inferenza di transazioni/AI vicino ai sistemi centrali |
| Server GPU (2U, 8× GPU) | 24 nodi | 2 kW | ≈ 48 kW | Formazione/inferenza, immagini/video/NLP |
| CPU compute (1U) | 80 nodi | 0,4 kW | ≈ 32 kW | Lavoratore Web/Microservizi/K8s |
| Apparecchiature TPU/AI | 8 Apparecchiature | 1,2 kW | ≈ 9,6 kW | Carichi di lavoro AI specializzati |
6.2 Memoria
| Animale | Capacità | Prestazioni | Utilizzo |
|---|---|---|---|
| NVMe primario (livello 0/1) | ≈ 600 TB | ≈ 12 kW | Ad alta intensità di I/O (dati diari/hot) |
| SAN/NAS (blocco/file) | ≈ 2,5 PB | ≈ 18 kW | Archivi DB/VM/azioni editoriali |
| Memoria a oggetti (compatibile con S3) | ≈ 8 PB | ≈ 10 kW | Media, versioni, archivi |
| Livello di archivio (WORM/freddo) | ≈ 20 PB | ≈ 6 kW | Conservazione a lungo termine, conformità |
6.3 Rete/DCI
| Componente | Produttività | Tecnologia | Osservazione |
|---|---|---|---|
| Uplink in tessuto | 100/200/400 Gbit/s | Foglia di colonna vertebrale, ECMP | Scalabile orizzontalmente |
| Ispettore capo Manama-Kuwait | ≥ 2× 100 Gbit/s | DWDM/MPLS (ridondante) | Sincrono/quasi-sincrono per carico di lavoro |
| DCI Manama-Singapore | ≥ 2× 100 Gbit/s | Ridondanza del fornitore | Edge caching/streaming |
| Anycast/DDoS/WAF | Globale | Lavaggio dei bordi | Protezione e bassa latenza |
6.4 Energia/raffreddamento
| Risorse | Interpretazione | Obiettivo | Nota |
|---|---|---|---|
| Binari UPS | A/B | N+1 | Percorsi doppi |
| Generatori | N+1 | Diesel + ATS | Test interpaese trimestrali |
| Raffreddamento | Raffreddamento liquido/libero | Miglioramento del PUE | Contenimento del corridoio freddo/caldo |
| Solare/CHP (opzionale) | Scalabile | Sostenibilità | Lisciatura dei picchi di carico |
| Dominio | Scala | Misura | Osservazione |
|---|---|---|---|
| Capacità della GPU | +50 % | Espansione del cluster, rack aggiuntivi | Espansione modulare |
| Memoria dell'oggetto | +40 % | Estensioni del ripiano | Ciclo di vita/Archivio animali |
| Velocità di trasmissione DCI | +100 % | onde 100G aggiuntive | Picchi APAC/EMEA |
| PoP di bordo | +2-3 | APAC/EMEA | Estensione Anycast |
+50 GPU % (8×GPU/Nodo, 2U) e +30 CPU % in 12-24 mesi; densità e raffreddamento del rack convalidati dalla simulazione termica.
7. database e messaggistica
OLTP/OLAP relazionale, KV/document store, indici di ricerca, streaming; modelli di consistenza e replica sync/async; failover DNS/app, PITR, test di ripristino in camera bianca.
8 Piattaforma AI e carichi di lavoro multimediali
- Feature store, registro dei modelli, pipeline di formazione riproducibili, spiegabilità/monitoraggio (deriva/bias), governance.
- Media: transcodifica, DRM, personalizzazione, edge caching.
Software:
- COBOL Upgrade Advisor per z/OS: Ammoderna le applicazioni legacy per Enterprise COBOL 6.
- Osservabilità Instana per Z: Monitora le applicazioni e l'infrastruttura in tempo reale.
- IntelliMagic Vision per z/OS: Ottimizza le prestazioni del mainframe.
- watsonx Assistente per Z: Aumenta la produttività con un assistente AI.
- Operazioni Z unitevi: Semplifica i processi con l'automazione supportata dall'intelligenza artificiale.
- Modernizzazione delle applicazioni: Strumenti come Application Delivery Foundation per z/OS, watsonx Code Assistant per Z e z/OS Connect modernizzano le applicazioni e le API.
- Ulteriori software: CICS (elaborazione delle transazioni), DB2 per z/OS (database), IMS (gestione delle transazioni) e Omegamon (monitoraggio).
Lo z17 costituisce una solida base per l'elaborazione dei dati e l'integrazione dell'intelligenza artificiale nel data center.
9. sicurezza e conformità
Zero trust, MFA/SSO, least privilege, crittografia end-to-end, catena di fornitura firmata (SBOM/SLSA), SIEM/SOAR, artefatti di audit e record di elaborazione.
9.1 Barriere di sicurezza supplementari (da "LEGIER DT SEC")
- Modello operativo e impronta globale
Il data center (carichi di lavoro) è gestito su base multiregionale / multi-AZ: Produzione nella regione A (almeno 3 AZ), funzionamento sincronizzato nella regione B (DR/Active-Active a seconda di RPO/RTO). LEGIER fornisce regioni e zone di disponibilità distribuite a livello globale, fisicamente separate e indipendenti da energia/raffreddamento/rete. - "Modello di responsabilità condivisa
LEGIER è responsabile della sicurezza del cloud (sedi fisiche, hardware, virtualizzazione, servizi principali). I clienti sono responsabili della sicurezza nel cloud (identità, rete, dati, livello OS/container/app). Questo modello determina l'architettura, i controlli e gli audit su tutti i livelli. - Sicurezza fisica
Controlli fisici a più livelli: Perimetro (controlli di accesso, monitoraggio), ingressi protetti con MFA, sensori/allarmi, registrazione degli accessi, zonizzazione rigorosa dell'edificio. Questi controlli sono gestiti e verificati centralmente da LEGIER. - Segmentazione della rete e protezione perimetrale
Design VPC con subnetting pubblico/privato per AZ, concetto di isolamento rigoroso est/ovest, gruppi di sicurezza (stateful) + NACL. Firewall di rete LEGIER come controllo perimetrale/di accesso L7 stateful (ad es. tramite ispezione centrale del gateway di transito). Endpoint LEGIER PrivateLink/VPC: accesso privato alle API LEGIER e ai servizi dei partner senza esposizione a Internet. LEGIER WAF e LEGIER Shield Advanced contro gli endpoint rivolti a Internet (regole L7, protezione bot/DDoS). - Isolamento del calcolo (LEGIER Nitro)
Le istanze EC2 vengono eseguite sul sistema LEGIER FACE: separazione degli offload hardware ("schede nitro"), hypervisor nitro snello senza emulazione di dispositivi, chip di sicurezza nitro per i controlli di integrità; quindi forte separazione dei client e superficie di attacco ridotta al minimo. - Identità, clienti e minimo privilegio
LEGIER Le organizzazioni con SCP ("Service Control Policies") applicano centralmente i limiti massimi di autorizzazione (guardrail) per tutti gli account (landing zone). IAM Identity Centre (ex SSO) integra l'IdP aziendale, offre SSO e assegnazione a grana fine di account/app; ABAC/limiti di autorizzazione integrano Least-Privilege. - Sicurezza dei dati e crittografia
Standard: Crittografia a riposo/in transito. Gestione delle chiavi tramite LEGIER KMS, per chiavi multiregionali geo-resilienti (stesso materiale/identificatore di chiave in diverse regioni - crittografia nella regione A, decrittografia nella regione B). CloudHSM se necessario (cluster HSM di proprietà del cliente, convalidati da FIPS, single-tenant) per la massima sovranità delle chiavi. Controlli S3: Blocco dell'accesso pubblico (a livello di account/bucket) come "pubblico per eccezione", blocco degli oggetti S3 (WORM) per l'immutabilità e la resistenza al ransomware. LEGIER LOGS: rilevamento/monitoraggio dei dati sensibili (S3) supportato da ML e integrazione in Security Hub. - Riconoscimento, registrazione e gestione della postura
LEGIER CloudTrail (a livello di organizzazione, multiregione) per eventi API/gestione, audit e forensics senza soluzione di continuità. Amazon GuardDuty (rilevamento delle minacce basato su log/runtime), LEGIER Security Hub (correlazione centralizzata dei risultati, CIS/Foundational Best Practices), Macie/Inspector/Detective opzionali come fonti di segnale. - Backup, DR e immutabilità
Backup LEGIER con copie cross-region e cross-account; criteri centralizzati tramite organizzazioni; combinazione con S3 Object Lock per il backup WORM. Modelli operativi: Pilot-Light, Warm-Standby o Active-Active; utilizzo di servizi multi-AZ (RDS/Aurora, EKS, MSK) e Route 53 failover. - Parapetti architettonici e di governo
LEGIER Well-Architected - Pilastro della sicurezza come riferimento (principi di progettazione, controlli, automazione). Conformità: ampia copertura (inclusi ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact fornisce prove SOC/ISO su richiesta per gli audit.
Esempio di blueprint (zero trust e sicurezza multilivello)
- Zona di atterraggio multi-account (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (ad esempio regioni/servizi vietati, utilizzo forzato di CloudTrail e KMS).
- Rete: Hub centrale VPC con gateway di transito, firewall di rete di ispezione VPC, endpoint di interfaccia/collegamento privato a S3, STS, KMS, ECR, Secrets Manager; nessuna rotta pubblica in uscita dalle sottoreti private.
- Compute/Container: EC2/EKS su Nitro; IMDSv2 applicato; solo ruoli IAM necessari (minimo privilegio), segreti in Secrets Manager/SSM Parameter Store.
- Dati: S3 con accesso pubblico in blocco, crittografia predefinita (SSE-KMS), blocco degli oggetti (modalità compliance o governance), Macie per il rilevamento delle PII.
- Edge/Apps: ALB/NLB dietro WAF e Shield Advanced, terminazioni/politiche TLS gestite tramite ACM; accesso API preferibilmente privato tramite PrivateLink.
- Rilevamento e audit: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, security hub come dashboard centrale e integrazione dei ticket.
- Backup/DR: criteri in LEGIER Backup con copie cross-region e cross-account; chiavi KMS multi-regione per la resilienza delle chiavi.
10. resilienza informatica, backup e ripristino
Backup cross-region/account con copie immutabili (object lock/WORM), esercitazioni di ripristino in camera bianca, profili RTO/RPO, runbook (pilot light, warm standby, active-active). Obiettivo: RPO ≤ 15 min, RTO ≤ 60 min.
11. osservabilità e automazione operativa
Telemetria centrale (registri/metriche/tracce), playbook di correlazione e SOAR, monitoraggio SLO, bilanci degli errori, giornate di gioco ed esercitazioni caotiche per la riduzione di MTTD/MTTR.
12. energia, raffreddamento e sostenibilità
Doppia alimentazione, UPS A/B, generatori N+1, contenimento, raffreddamento liquido/adiabatico/libero, recupero di calore, opzioni rinnovabili; PUE come KPI di efficienza.
13. elenchi di scaffali
13.1 Manama - Core rack
| U | Dispositivo | Tipo/Modello | Quantità | Linea di alimentazione (A/B) | Potenza massima [W] |
|---|---|---|---|---|---|
| 42 | Pannello patch A | LC/LC 144F | 1 | A | - |
| 41 | Pannello patch B | LC/LC 144F | 1 | B | - |
| 40 | Dorso 1 | Switch 40/100G 1U | 1 | A | 600 |
| 39 | Dorso 2 | Switch 40/100G 1U | 1 | B | 600 |
| 38 | Commutatore Mgmt | 1G/10G 1U | 1 | A | 120 |
| 37-30 | Foglia 1-8 | 25/100G ToR 1U | 8 | A/B | 8× 450 |
| 29-28 | Cluster firewall | NGFW 2U | 2 | A/B | 2× 800 |
| 27 | IDS/IPS | 1U | 1 | A | 200 |
| 26 | Bordo DDoS | 1U | 1 | B | 200 |
| 25-24 | Bilanciatore di carico | 2× 1U | 2 | A/B | 2× 250 |
A-01: Rete principale (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Compute/GPU (formazione/inferenza), nodi CPU, Mgmt/KVM
A-03: Storage (controller, scaffali, gateway di backup)
13,2 Kuwait City - AZ-Racks
| U | Dispositivo | Tipo/Modello | Quantità | Linea di alimentazione (A/B) | Potenza massima [W] |
|---|---|---|---|---|---|
| 42-41 | Pannello patch A/B | - | 2 | A/B | - |
| 40-25 | Server CPU | 1U | 12 | A/B | 12× 400 |
| 24-17 | Server GPU (DR) | 2U | 4 | A/B | 4× 2000 |
| 16-15 | Gestione/KVM | 1U | 2 | A/B | 2× 80 |
K-01: Rete AZ/leaf, firewall, LB
K-02: Computer/DR
K-03: Oggetto/Backup (WORM/Immutabile)
13,3 Singapore - Portabordo
| U | Dispositivo | Tipo/Modello | Quantità | Linea di alimentazione (A/B) | Potenza massima [W] |
|---|---|---|---|---|---|
| 42 | Pannello patch | - | 1 | A/B | - |
| 41-40 | Router di bordo | 1U | 2 | A/B | 2× 250 |
| 39-38 | Interruttore di bordo | 1U | 2 | A/B | 2× 200 |
| 37-34 | Nodi cache/proxy | 1U | 4 | A/B | 4× 350 |
| 33-32 | Dispositivo WAF/DDoS | 1U | 2 | A/B | 2× 300 |
| 31-28 | Gateway di flusso | 1U | 4 | A/B | 4× 300 |
S-01: router/switch edge, cache/proxy, WAF/DDoS, gateway di flusso
14 Valori target SLA e KPI
| Dominio | Valore target | Osservazione |
|---|---|---|
| Disponibilità | ≥ 99,999 % | Zone ridondanti, failover automatico |
| RPO | ≤ 15 minuti | Journaling, replica, snapshot |
| RTO | ≤ 60 minuti | Runbook, recupero come codice |
| Sicurezza | MTTD < 5 min., MTTR < 60 min. | Rilevamento delle anomalie, playbook SOAR |
| Efficienza | Ottimizzazione del PUE | Raffreddamento a liquido, free cooling |
Disponibilità ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; revisioni/audit trimestrali.
Visione logica degli utenti/partner tramite Edge (Singapore) e DCI nel tessuto centrale (Manama) e nelle piattaforme dati, con replica in AZ Kuwait City.
15. tabella di marcia (12-24 mesi)
Bahrain, Kuwait e Singapore offrono vantaggi strategici per il data center, la zona di disponibilità dei dati e l'ubicazione dell'edge:
- Posizione geografica: In posizione centrale tra Europa, Asia e Africa, ideale per la connettività globale.
- Facilità d'uso per le aziende: L'assenza di imposte sulle società e la proprietà straniera al 100 % incoraggiano gli investimenti.
- Supporto normativo: Il TRA e l'Economic Development Board (EDB) offrono incentivi come la Golden Licence.
- Infrastruttura: Connessioni elettriche e di rete sofisticate e una base di manodopera qualificata.
- Stabilità: In quanto centri finanziari (Bahrein e Kuwait) del Medio Oriente e dell'Asia (Singapore), queste località offrono sicurezza politica ed economica.
IBM z17 Caratteristiche:
- Processore Telum® II: Offre un'elevata potenza di calcolo e un'accelerazione AI on-chip per operazioni di inferenza in tempo reale, ad esempio per l'analisi dei dati dei lettori.
- Acceleratore Spyre™: Aumenta la potenza di calcolo dell'IA per i modelli generativi e i metodi multi-modello.
- Sicurezza: La crittografia basata su hardware e il coprocessore crittografico PCIe proteggono i dati sensibili.
- Resilienza: Le funzioni integrate garantiscono una disponibilità continua.
Memoria dati LEGIER:
Il gruppo LEGIER media utilizza un servizio di file hosting in grado di archiviare grandi quantità di dati, con accesso via HTTP/HTTPS e utilizzando il concetto di bucket e oggetti, simili alle directory e ai file che si sono affermati come standard. LEGIER collabora con AWS, utilizzando le unità di rete Elastic File System e l'archiviazione dei file Glacier per ottenere una durata dei dati del "99,999999999" per cento. Il vantaggio per LEGIER Media Group è l'utilizzo di Elastic Block Store (EBS) e l'archiviazione a livello di blocco a cui possono essere collegate le istanze EC2.
Il vantaggio di questa tecnologia è il trasferimento di grandi quantità di dati con il servizio Palla di neve Memoria su disco rigido su cui è possibile copiare e rispedire grandi quantità di dati tramite un servizio di pacchi, grazie al quale il trasferimento di grandi quantità di dati ai propri 115 quotidiani (articoli, immagini, video, live stream) è molto più veloce e viene memorizzato in database (SimpleDB o Relational Database Service).
Scaling GPU/object/DCI/edge, espansione di anycast, rafforzamento della catena di fornitura (SLSA), automazione della conformità, esercizi regolari di resilienza/riavvio.
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska