LEGIER COURT CENTRE: Manama (Bahrein) - Data beschikbaarheidszone Koeweit City - Edge locatie Singapore (KDDI Asia Pacific)

Inhoudsopgave

Vaker Sky Look1. Samenvatting

De LEGIER GROEP exploiteert een meerlagig Datacentre-ecosysteem met Manama (Core), Kuwait City (AZ) en Singapore (Edge). Het biedt afzonderlijke maar geïntegreerde lagen voor netwerk, computing, storage, data, AI en beveiliging. Doelen: Hoge beschikbaarheid, Zero-Trust beveiliging, lage latency en aantoonbare compliance. Onder goedkeuring van de Regelgevende instantie voor telecommunicatie (TRA) Het datacenter LEGIER in Bahrein maakt gebruik van geavanceerde technologieën, zoals eigen AI-componenten, Darktrace-beveiligingsoplossingen en IBM mainframe-technologie om een betrouwbaar, schaalbaar en veilig platform te garanderen. Bahrein en Koeweit bieden specifieke locatievoordelen die de activiteiten optimaliseren. Richtlijnen:

• Privacy-eerst (KMS/HSM)
• Multi-AZ/regio veerkracht
• Back-ups voor meerdere accounts
• GitOps/IaC met ondertekende artefacten
• SRE-bedrijf met SLO's en automatisering (SOAR)

Het datacenter in Manama is ontworpen om te voldoen aan de hoge eisen van een wereldwijd mediabedrijf:

1. Hoge beschikbaarheid: Een uptime van 99,999 % wordt bereikt door redundante systemen zoals dubbele stroombronnen, back-up generatoren en gespiegelde hardware om een continue berichtenproductie te garanderen.
2. Schaalbaarheid: De infrastructuur kan flexibel worden uitgebreid om toenemende datavolumes en computervereisten aan te kunnen - essentieel voor productie in negen talen wereldwijd.
3. Gegevensverwerking en -opslag: Miljoenen tekst-, beeld- en videopunten worden in realtime verwerkt en opgeslagen. Snelle SSD's en een robuust SAN (Storage Area Network) zorgen voor efficiëntie.
4. AI-ondersteuning: Krachtige GPU's en TPU's ondersteunen complexe AI-werklasten zoals inhoudsanalyse en vertaling.
5. Cyberbeveiliging: Gevoelige gegevens vereisen geavanceerde bescherming, die wordt geboden door Darktrace-technologieën.

Gebruik van AI

1. Inhoudelijke analyse:
2. • Technologie: Deep learning en natuurlijke taalverwerking (NLP) met modellen zoals BERT analyseren teksten, categoriseren inhoud en extraheren relevante informatie.
   • Voordeel: Versnelt de verwerking van berichten en verbetert de nauwkeurigheid, bijvoorbeeld bij het herkennen van trends of belangrijke onderwerpen.
3. Aanbevelingssystemen:
   • Technologie: Machine learning met collaborative filtering en neurale netwerken personaliseert inhoud voor lezers.
   • Voordeel: Verhoogt de loyaliteit van gebruikers door leesaanbevelingen op maat, bijvoorbeeld voor regionale of taalspecifieke inhoud.
4. Geautomatiseerde rapportage:
   • Technologie: Generatieve AI-modellen zoals GPT maken routinerapporten, bijvoorbeeld over het weer of sportuitslagen.
   • Voordeel: Ontlast redacteuren die zich kunnen concentreren op onderzoeksjournalistiek of complexe analyses.
5. Real-time vertalingen:
   • Technologie: AI-tools zoals DeepL of onze eigen modellen vertalen content in realtime naar negen talen.
   • Voordeel: Maakt de onmiddellijke publicatie van wereldwijd nieuws mogelijk, een belangrijk voordeel voor de 115 kranten.
6. Beeld- en videoherkenning:
   • Technologie: Convolutionele neurale netwerken (CNN's) taggen en evalueren automatisch visuele inhoud.
   • Voordeel: Versnelt de publicatie van multimediacontent door het automatisch aanmaken van metadata.

2. locaties en topologie

2.1 Manama (Bahrein) - Kernregio

Gecentraliseerde besturing/orchestratie, GPU/CPU-clusters, objectlagen, SIEM/SOAR/KMS/PKI, DNS/directory, artefactrepositories (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-scheiding.

2.2 Data beschikbaarheidszone (AZ) Koeweit-stad

Geografische veerkracht/ontkoppeling; replicatieprofielen per gegevensklasse (synchroon/nabij-synchroon/asynchroon); geïsoleerde foutdomeinen, speciale egresspunten, IAM-scoping, DR-capaciteiten (Pilot-Light-Active-Active).

2.3 Edge locatie Singapore (KDDI Asia Pacific)

Carrierneutrale edge PoP (CDN/caching, WAF/DDoS, streaming). Masterdata via beveiligde replicatie; doel: minimale APAC-latentie zonder openbare route in gevoelige subnetten.

3. netwerk- en interconnectiearchitectuur

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Koeweit-Singapore via DWDM/MPLS, QoS voor replicatie/back-ups, latency/jitter-monitoring met dynamische padkeuze. Perimeter: NGFW, L7-inspectie, DNS-filtering, egress whitelisting. Oost/West-isolatie: VRF/VXLAN, SG/NACL, mTLS, JIT-toegang.

4. computer-, virtualisatie- en containerlaag

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-orchestratie, GPU-nodes (mixed-precision), IMDSv2, ondertekende images (Cosign), SBOM-controle, toelatingscontroller, seccomp/AppArmor. Secrets met KMS backend. Klanten: Namespaces/Projecten, ABAC/RBAC, Toestemmingsgrenzen, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.

5. opslag en gegevensplatforms

NVMe flash voor lage latency, SAN/NAS voor VM/DB stores, S3 object store met versiebeheer, levenscyclus, WORM en replicatie Manama↔Koeweit; edge caches in Singapore voor media. Standaarden: Blokkeer publieke toegang, standaard weigeren, versleuteling aan client/server-zijde (KMS/HSM), write-once logging, public-by-exception shares.

6. capaciteitsplanning

6.1 Berekenen

Bron	Hoeveelheid	Servicebudget per eenheid	Totaal	Opmerking
IBM z17 (mainframe frame)	1 Frame	n.v.t.	n.v.t.	Transactie/AI-inferentie nabij kernsystemen
GPU-server (2U, 8× GPU)	24 knooppunten	2 kW	≈ 48 kW	Training/inferentie, beeld/video/NLP
CPU-computers (1U)	80 knooppunten	0,4 kW	≈ 32 kW	Web/Microservices/K8s Werker
TPU/AI-apparaten	8 Toestellen	1,2 kW	≈ 9,6 kW	Gespecialiseerde AI-werklasten

6.2 Geheugen

Dier	Capaciteit	Prestaties	Gebruik
NVMe primair (niveau 0/1)	≈ 600 TB	≈ 12 kW	I/O-intensief (tijdschriften/Hot Data)
SAN/NAS (blok/bestand)	≈ 2.5 PB	≈ 18 kW	DB/VM opslag/redactionele aandelen
Objectgeheugen (S3-compatibel)	≈ 8 PB	≈ 10 kW	Media, versies, archieven
Archiefniveau (WORM/Koud)	≈ 20 PB	≈ 6 kW	Langdurige opslag, naleving

6.3 Netwerk/DCI

Component	Doorvoer	Technologie	Opmerking
Stoffen uplinks	100/200/400 Gbit/s	Ruggengraat, ECMP	Horizontaal schaalbaar
DCI Manama-Koeweit	≥ 2× 100 Gbit/s	DWDM/MPLS (redundant)	Synchroon/nabij-synchroon per werklast
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Boventalligheid	Edge caching/streaming
Anycast/DDoS/WAF	Wereldwijd	Schrobben van randen	Bescherming & lage latentie

6.4 Energie/koeling

Bron	Interpretatie	Doel	Tip
UPS-rails	A/B	N+1	Dubbele paden
Generatoren	N+1	Diesel + ATS	Landoverschrijdende tests per kwartaal
Koeling	Vloeistof-/vrijkoeling	PUE-verbetering	Insluiting koude/warme gangen
Zonne-energie/CHP (optioneel)	Schaalbaar	Duurzaamheid	Afvlakken piekbelasting

Domein	Schalen	Maatregel	Opmerking
GPU-capaciteit	+50 %	Clusteruitbreiding, extra racks	Modulaire uitbreiding
Objectgeheugen	+40 %	Plank uitbreidingen	Levenscyclus/Orchiefdier
DCI-doorvoer	+100 %	extra 100G-golven	APAC/EMEA-pieken
Rand-PoPs	+2-3	APAC/EMEA	Anycast-uitbreiding

+50 % GPU (8×GPU/Node, 2U) en +30 % CPU in 12-24 maanden; rackdichtheid en koeling gevalideerd door thermische simulatie.

7. databases en berichtenuitwisseling

Relationele OLTP/OLAP, KV/document stores, zoekindices, streaming; consistentiemodellen en sync/async replicatie; DNS/app failover, PITR, restore tests in de cleanroom.

8 AI platform & media werklasten

• Feature store, modelregister, reproduceerbare trainingspijplijnen, verklaarbaarheid/monitoring (drift/bias), governance.
• Media: transcodering, DRM, personalisering, edge caching.

Software:  

• COBOL Upgrade Advisor voor z/OS: Moderniseert oudere toepassingen voor Enterprise COBOL 6.
• Instana Waarneembaarheid voor Z: Bewaakt applicaties en infrastructuur in realtime.
• IntelliMagic Vision voor z/OS: Optimaliseert de prestaties van mainframes.
• watsonx Assistent voor Z: Verhoogt de productiviteit met een AI-assistent.
• Z-operaties verenigd: Vereenvoudigt processen met AI-ondersteunde automatisering.
• Modernisering van toepassingen: Tools zoals Application Delivery Foundation voor z/OS, watsonx Code Assistant voor Z en z/OS Connect moderniseren toepassingen en API's.
• Verdere software: CICS (transactieverwerking), DB2 voor z/OS (database), IMS (transactiebeheer) en Omegamon (monitoring).

De z17 vormt een robuuste basis voor gegevensverwerking en AI-integratie in het datacenter.

9. beveiliging en compliance

Zero-Trust, MFA/SSO, least-privilege, end-to-end encryptie, ondertekende toeleveringsketen (SBOM/SLSA), SIEM/SOAR, audit artefacten en records of processing.

9.1 Extra vangrails (van „LEGIER DT SEC“)

1. Bedrijfsmodel & wereldwijde aanwezigheid Het datacenter (werklasten) wordt bediend op een multi-regio / multi-AZ basis: Productie in regio A (ten minste 3 AZ's), gesynchroniseerde werking in regio B (DR/Active-Active afhankelijk van RPO/RTO). LEGIER biedt wereldwijd gedistribueerde regio's en beschikbaarheidszones die fysiek gescheiden en onafhankelijk zijn met stroom/koeling/netwerk.
2. „Model van gedeelde verantwoordelijkheid“ LEGIER is verantwoordelijk voor de beveiliging van de cloud (fysieke locaties, hardware, virtualisatie, core services). Klanten zijn verantwoordelijk voor de beveiliging in de cloud (identiteiten, netwerk, data, OS/container/app-laag). Dit model bepaalt de architectuur, controles en audits op alle lagen.
3. Fysieke beveiliging Meerlaagse fysieke controles: Perimeter (toegangscontroles, monitoring), beveiligde ingangen met MFA, sensoren/alarmen, logging van toegang, strikte zonering in het gebouw. Deze controles worden centraal bediend en gecontroleerd door LEGIER.
4. Netwerksegmentatie en perimeterbeveiliging VPC-ontwerp met publieke/private subnetting per AZ, strikt oost/west isolatieconcept, Sec-security Group's (stateful) + NACL's. LEGIER Netwerk Firewall als stateful L7 perimeter/egress controle (bijv. via transit gateway centrale inspectie). LEGIER PrivateLink / VPC Endpoints: prive-toegang tot LEGIER API's en partner diensten zonder internet bloot te stellen. LEGIER WAF & LEGIER Shield Advanced voor internet-facing endpoints (L7 regels, bot / DOS-bescherming).
5. Compute Isolation (LEGIER Nitro) EC2-instanties draaien op het LEGIER FACE-systeem: scheiding van hardware offloads („Nitro Cards“), slanke Nitro-hypervisor zonder apparaatemulatie, Nitro Security-chip voor integriteitscontroles; dus sterke clientscheiding en geminimaliseerd aanvalsoppervlak.
6. Identiteiten, klanten & least privilege LEGIER Organisaties met SCP's („Service Control Policies“) dwingen centraal maximale autorisatielimieten (vangrails) af voor alle accounts (landingszone). IAM Identity Centre (voorheen SSO) integreert de IdP van het bedrijf, biedt SSO & fijnkorrelige toewijzing aan accounts/apps; ABAC/Permission Boundaries vullen Least-Privilege aan.
7. Gegevensbeveiliging en cryptografie Standaard: Encryptie tijdens overdracht. Sleutelbeheer via LEGIER KMS, voor georegionale sleutels (hetzelfde sleutelmateriaal/sleutel-ID in meerdere regio's - versleutelen in regio A, ontsleutelen in regio B). CloudHSM indien nodig (HSM-clusters in eigendom van de klant, FIPS-gevalideerd, single-tenant) voor maximale sleutelsoevereiniteit. S3-controles: Blokkeer publieke toegang (account/bucket-niveau) als „public-by-exception“, S3 object lock (WORM) voor onveranderlijkheid & ransomware-bestendigheid. LEGIER LOGS: ML-ondersteunde detectie/bewaking van gevoelige gegevens (S3) en integratie in Security Hub.
8. Herkenning, logboekregistratie & houdingbeheer LEGIER CloudTrail (organisatiebreed, multiregionaal) voor API-/beheergebeurtenissen, naadloze audit en forensisch onderzoek. Amazon GuardDuty (log/runtime-gebaseerde bedreigingsdetectie), LEGIER Security Hub (gecentraliseerde correlatie van bevindingen, CIS/Foundational Best Practices), optionele Macie/Inspector/Detective als signaalbronnen.
9. Back-up, DR en onveranderlijkheid LEGIER back-up met regio-overschrijdende en account-overschrijdende kopieën; beleid centraal via organisaties; combinatie met S3 Object Lock voor back-up WORM. Bedrijfsmodellen: Pilot-Light, Warm-Standby of Actief-Actief; gebruik van multi-AZ services (RDS/Aurora, EKS, MSK) en Route 53 failover.
10. Bestuurlijke en architecturale vangrails LEGIER Goed ontworpen - Security Pillar als referentie (ontwerpprincipes, controles, automatisering). Compliance: brede dekking (inclusief ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact levert on-demand SOC/ISO bewijs voor audits.

Voorbeeld blauwdruk (Nul-Trust & beveiliging op meerdere niveaus)

• Multi-Account Landing Zone (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (bijv. verboden regio's/services, gedwongen CloudTrail & KMS-gebruik).
• Netwerk: Centrale hub VPC met transit gateway, netwerk firewall inspectie VPC, interface eindpunten/private link naar S3, STS, KMS, ECR, Secrets Manager; geen uitgaande publieke routes van privé subnetten.
• Compute/Container: EC2/EKS op Nitro; IMDSv2 afgedwongen; alleen noodzakelijke IAM-rollen (laagste privilege), Secrets in Secrets Manager/SSM Parameter Store.
• Gegevens: S3 met blok openbare toegang, standaardversleuteling (SSE-KMS), objectvergrendeling (compliance- of governancemodus), Macie voor detectie van PII.
• Edge/Apps: ALB/NLB achter WAF & Shield Advanced, TLS-beëindigingen/beleidslijnen beheerd via ACM; API-toegang bij voorkeur privé via PrivateLink.
• Detectie & audit: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, Security Hub als centraal dashboard & ticketintegratie.
• Back-ups/DR: Beleid in LEGIER Back-up met regio-overschrijdende & account-overschrijdende kopieën; KMS multi-regiosleutels voor sleutelvastheid.

10. cyberweerbaarheid, back-ups en herstel

Regio-overschrijdende/accountback-ups met onveranderlijke kopieën (objectvergrendeling/WORM), restore drills in de cleanroom, RTO/RPO-profielen, runbooks (waakvlam, warme stand-by, actief-actief). Doel: RPO ≤ 15 min, RTO ≤ 60 min.

11. waarneembaarheid & operationele automatisering

Centrale telemetrie (logboeken/metrische gegevens/traces), correlatie & SOAR playbooks, SLO-tracking, foutbudgetten, wedstrijddagen en chaosoefeningen voor MTTD/MTTR-reductie.

12. energie, koeling & duurzaamheid

Dubbele voeding, A/B UPS, N+1 generatoren, insluiting, vloeistof/adiabatische/vrije koeling, warmteterugwinning, hernieuwbare opties; PUE als efficiëntie KPI.

13. Lijsten met rekken

13.1 Manama - Kernrekken

U	Apparaat	Type/Model	Hoeveelheid	Toevoerleiding (A/B)	Max. vermogen [W]
42	Patchpaneel A	LC/LC 144F	1	A	-
41	Patchpaneel B	LC/LC 144F	1	B	-
40	Rug 1	40/100G schakelaar 1U	1	A	600
39	Rug 2	40/100G schakelaar 1U	1	B	600
38	Mgmt-schakelaar	1G/10G 1U	1	A	120
37-30	Blad 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Firewall Cluster	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS-rand	1U	1	B	200
25-24	Laadbalancer	2× 1U	2	A/B	2× 250

A-01: Kernnetwerk (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Computer/GPU (training/inferentie), CPU-knooppunten, Mgmt/KVM A-03: Opslag (controllers, planken, back-up gateways)

13.2 Koeweit - AZ-Racks

U	Apparaat	Type/Model	Hoeveelheid	Toevoerleiding (A/B)	Max. vermogen [W]
42-41	Patchpaneel A/B	-	2	A/B	-
40-25	CPU-server	1U	12	A/B	12× 400
24-17	GPU-server (DR)	2U	4	A/B	4× 2000
16-15	Beheer/KVM	1U	2	A/B	2× 80

K-01: AZ netwerk/blad, firewalls, LB K-02: Rekenen/DR K-03: Object/Backup (WORM/Immutable)

13.3 Singapore - Kantrek

U	Apparaat	Type/Model	Hoeveelheid	Toevoerleiding (A/B)	Max. vermogen [W]
42	Schakelpaneel	-	1	A/B	-
41-40	Randrouter	1U	2	A/B	2× 250
39-38	Randschakelaar	1U	2	A/B	2× 200
37-34	Cache/Proxy knooppunten	1U	4	A/B	4× 350
33-32	WAF/DDOS-apparaat	1U	2	A/B	2× 300
31-28	Stream Gateway	1U	4	A/B	4× 300

S-01: Edge routers/switches, cache/proxy, WAF/DDOS, stream gateways

14 SLA streefwaarden & KPI's

Domein	Doelwaarde	Opmerking
Beschikbaarheid	≥ 99,999 %	Redundante zones, automatische failover
RPO	≤ 15 minuten	Journaling, replicatie, snapshots
RTO	≤ 60 minuten	Runbooks, herstel als code
Beveiliging	MTTD < 5 min., MTTR < 60 min.	Anomaliedetectie, SOAR-playbooks
Efficiëntie	PUE-optimalisatie	Vloeistofkoeling, vrije koeling

Beschikbaarheid ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; driemaandelijkse controles/audits. Logische weergave van gebruikers/partners via Edge (Singapore) en DCI in de core fabric (Manama) en dataplatforms, met replicatie naar AZ Kuwait City.

 

15. stappenplan (12-24 maanden)

Bahrein en Koeweit, evenals Singapore, bieden strategische voordelen voor het datacenter, de Data Availability Zone en de Edge-locatie:

• Geografische locatie: Centraal gelegen tussen Europa, Azië en Afrika, ideaal voor wereldwijde connectiviteit.
• Bedrijfsvriendelijkheid: Geen vennootschapsbelasting en 100 % buitenlands eigendom stimuleren investeringen.
• Regelgevende ondersteuning: De TRA en de Economic Development Board (EDB) bieden stimulansen zoals de Gouden Licentie.
• Infrastructuur: Geavanceerde stroom- en netwerkverbindingen en een geschoolde beroepsbevolking.
• Stabiliteit: Als financieel centrum (Bahrein en Koeweit) in het Midden-Oosten en Azië (Singapore) bieden deze locaties politieke en economische zekerheid.

IBM z17 Kenmerken:

• Telum® II-processor: Biedt hoge rekenkracht en AI-acceleratie op de chip voor real-time inferentiebewerkingen, bijvoorbeeld voor het analyseren van leesgegevens.
• Spyre™ versneller: Vergroot de rekenkracht van AI voor generatieve modellen en methoden met meerdere modellen.
• Beveiliging: Hardwarematige versleuteling en PCIe Cryptographic Coprocessor beschermen gevoelige gegevens.
• Veerkracht: Geïntegreerde functies zorgen voor continue beschikbaarheid.

LEGIER datageheugen:

De LEGIER mediagroep gebruikt een bestandshostingdienst die grote hoeveelheden gegevens kan opslaan, die toegankelijk is via HTTP/HTTPS en gebruik maakt van het concept van buckets en objecten, die vergelijkbaar zijn met mappen en bestanden die als standaard zijn ingeburgerd. Hier werkt LEGIER samen met AWS, waarbij gebruik wordt gemaakt van Elastic File System netwerkschijven en Glacier archivering van bestanden om een „99,999999999“ procent duurzaamheid van gegevens te bereiken. Het voordeel voor de LEGIER mediagroep is het gebruik van Elastic Block Store (EBS) en opslag op blokniveau waaraan EC2-instanties kunnen worden gekoppeld. Het voordeel van deze technologie is de overdracht van grote hoeveelheden gegevens met de service Sneeuwbal Opslag op harde schijf waarop grote hoeveelheden gegevens kunnen worden gekopieerd en teruggestuurd per pakketdienst, waardoor de overdracht van zeer grote hoeveelheden gegevens naar je eigen 115 dagbladen (artikelen, afbeeldingen, video's, livestream) veel sneller gaat en wordt opgeslagen in databases (SimpleDB of Relational Database Service). Schaalvergroting GPU/object/DCI/edge, uitbreiding van anycast, hardening supply chain (SLSA), automatisering van compliance, regelmatige resilience/herstartoefeningen.