LEGIER RECHTSZENTRUM: Manama (Bahrein) - Data Availability Zone Koeweit City - Edge locatie Singapore (KDDI Asia Pacific)
Inhoudsopgave
Vaker Sky Look1. Samenvatting
De LEGIER GROEP exploiteert een multi-tier datacenter ecosysteem met Manama (Core), Kuwait City (AZ) en Singapore (Edge). Het biedt afzonderlijke maar geïntegreerde lagen voor netwerk, computing, opslag, data, AI en beveiliging.
Doelen: Hoge beschikbaarheid, zero-trust beveiliging, lage latency en aantoonbare compliance.
Met toestemming van de Regelgevende instantie voor telecommunicatie (TRA) Het LEGIER datacenter in Bahrein maakt gebruik van de modernste technologieën, zoals zijn eigen AI-componenten, Darktrace-beveiligingsoplossingen en IBM mainframe-technologie om een betrouwbaar, schaalbaar en veilig platform te garanderen. Bahrein en Koeweit bieden specifieke locatievoordelen die de activiteiten optimaliseren.
Richtlijnen:
- Privacy-eerst (KMS/HSM)
- Multi-AZ/regio veerkracht
- Back-ups voor meerdere accounts
- GitOps/IaC met ondertekende artefacten
- SRE-bedrijf met SLO's en automatisering (SOAR)
Het datacenter in Manama is ontworpen om te voldoen aan de hoge eisen van een wereldwijd mediabedrijf:
- Hoge beschikbaarheid: Een uptime van 99,999 % wordt bereikt door redundante systemen zoals dubbele stroombronnen, back-up generatoren en gespiegelde hardware om een continue berichtenproductie te garanderen.
- Schaalbaarheid: De infrastructuur kan flexibel worden uitgebreid om toenemende datavolumes en computervereisten aan te kunnen - essentieel voor productie in negen talen wereldwijd.
- Gegevensverwerking en -opslag: Miljoenen tekst-, beeld- en videopunten worden in realtime verwerkt en opgeslagen. Snelle SSD's en een robuust SAN (Storage Area Network) zorgen voor efficiëntie.
- AI-ondersteuning: Krachtige GPU's en TPU's ondersteunen complexe AI-workloads zoals contentanalyse en vertalingen.
- Cyberbeveiliging: Gevoelige gegevens vereisen geavanceerde bescherming, die wordt geboden door Darktrace-technologieën.
Gebruik van AI
- Inhoudelijke analyse:
- Technologie: Deep learning en natuurlijke taalverwerking (NLP) met modellen zoals BERT analyseren teksten, categoriseren inhoud en extraheren relevante informatie.
- Voordeel: Versnelt de verwerking van berichten en verbetert de nauwkeurigheid, bijvoorbeeld bij het herkennen van trends of belangrijke onderwerpen.
- Aanbevelingssystemen:
- Technologie: Machine learning met collaborative filtering en neurale netwerken personaliseert inhoud voor lezers.
- Voordeel: Verhoogt de loyaliteit van gebruikers door leesaanbevelingen op maat, bijvoorbeeld voor regionale of taalspecifieke inhoud.
- Geautomatiseerde rapportage:
- Technologie: Generatieve AI-modellen zoals GPT maken routinerapporten, bijvoorbeeld over het weer of sportuitslagen.
- Voordeel: Ontlast redacteuren die zich kunnen concentreren op onderzoeksjournalistiek of complexe analyses.
- Real-time vertalingen:
- Technologie: AI-tools zoals DeepL of eigen modellen vertalen inhoud in realtime naar negen talen.
- Voordeel: Maakt de onmiddellijke publicatie van wereldwijd nieuws mogelijk, een belangrijk voordeel voor de 115 kranten.
- Beeld- en videoherkenning:
- Technologie: Convolutionele neurale netwerken (CNN's) taggen en evalueren automatisch visuele inhoud.
- Voordeel: Versnelt de publicatie van multimediacontent door het automatisch aanmaken van metadata.
2. locaties en topologie
2.1 Manama (Bahrein) - Kernregio
Gecentraliseerde besturing/orchestratie, GPU/CPU-clusters, objectlagen, SIEM/SOAR/KMS/PKI, DNS/directory, artefactrepositories (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-scheiding.
2.2 Data Availability Zone (AZ) Koeweit-stad
Geografische veerkracht/ontkoppeling; replicatieprofielen per gegevensklasse (synchroon/nabij-synchroon/asynchroon); geïsoleerde foutdomeinen, speciale egresspunten, IAM-scoping, DR-capaciteiten (Pilot-Light-Active-Active).
2.3 Edge locatie Singapore (KDDI Asia Pacific)
Carrier-neutrale edge PoP (CDN/caching, WAF/DDoS, streaming). Masterdata via beveiligde replicatie; doel: minimale APAC-latentie zonder openbare route in gevoelige subnetten.
3. netwerk- en interconnectiearchitectuur
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Koeweit-Singapore via DWDM/MPLS, QoS voor replicatie/back-ups, latency/jitter-monitoring met dynamische padkeuze.
Perimeter: NGFW, L7-inspectie, DNS-filter, egress whitelisting. Oost/west-isolatie: VRF/VXLAN, SG/NACL, mTLS, JIT-toegang.
4. computer-, virtualisatie- en containerlaag
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-orchestratie, GPU-nodes (mixed-precision), IMDSv2, ondertekende afbeeldingen (Cosign), SBOM-controle, toelatingscontroller, seccomp/AppArmor. Geheimen met KMS backend.
Klanten: Namespaces/Projecten, ABAC/RBAC, Toestemmingsgrenzen, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.
5. opslag en gegevensplatforms
NVMe flash voor lage latency, SAN/NAS voor VM/DB stores, S3 object store met versiebeheer, levenscyclus, WORM en replicatie Manama↔Koeweit; edge caches in Singapore voor media.
Standaarden: Blokkeer publieke toegang, standaard weigeren, versleuteling client/server (KMS/HSM), write-once logging, delen per uitzondering openbaar.
6. capaciteitsplanning
6.1 Berekenen
| Bron | Hoeveelheid | Servicebudget per eenheid | Totaal | Opmerking |
|---|---|---|---|---|
| IBM z17 (mainframe frame) | 1 Frame | n.v.t. | n.v.t. | Transactie/AI-inferentie nabij kernsystemen |
| GPU-server (2U, 8× GPU) | 24 knooppunten | 2 kW | ≈ 48 kW | Training/inferentie, beeld/video/NLP |
| CPU-computers (1U) | 80 knooppunten | 0,4 kW | ≈ 32 kW | Web/Microservices/K8s Werker |
| TPU/AI-toestellen | 8 Toestellen | 1,2 kW | ≈ 9,6 kW | Gespecialiseerde AI-werklasten |
6.2 Geheugen
| Dier | Capaciteit | Prestaties | Gebruik |
|---|---|---|---|
| NVMe primair (niveau 0/1) | ≈ 600 TB | ≈ 12 kW | I/O-intensief (journals/hot gegevens) |
| SAN/NAS (blok/bestand) | ≈ 2.5 PB | ≈ 18 kW | DB/VM opslag/redactionele aandelen |
| Objectgeheugen (S3-compatibel) | ≈ 8 PB | ≈ 10 kW | Media, versies, archieven |
| Archiefniveau (WORM/Koud) | ≈ 20 PB | ≈ 6 kW | Langdurige opslag, naleving |
6.3 Netwerk/DCI
| Component | Doorvoer | Technologie | Opmerking |
|---|---|---|---|
| Stoffen uplinks | 100/200/400 Gbit/s | Ruggengraat, ECMP | Horizontaal schaalbaar |
| DCI Manama-Koeweit | ≥ 2× 100 Gbit/s | DWDM/MPLS (redundant) | Synchroon/nabij-synchroon per werklast |
| DCI Manama-Singapore | ≥ 2× 100 Gbit/s | Boventalligheid | Edge caching/streaming |
| Anycast/DDoS/WAF | Wereldwijd | Schrobben van randen | Bescherming & lage latentie |
6.4 Energie/koeling
| Bron | Interpretatie | Doel | Tip |
|---|---|---|---|
| UPS-rails | A/B | N+1 | Dubbele paden |
| Generatoren | N+1 | Diesel + ATS | Landoverschrijdende tests per kwartaal |
| Koeling | Vloeistof-/vrijkoeling | PUE-verbetering | Insluiting koude/warme gangen |
| Zonne-energie/CHP (optioneel) | Schaalbaar | Duurzaamheid | Afvlakken piekbelasting |
| Domein | Schalen | Maatregel | Opmerking |
|---|---|---|---|
| GPU-capaciteit | +50 % | Clusteruitbreiding, extra racks | Modulaire uitbreiding |
| Objectgeheugen | +40 % | Plank uitbreidingen | Levenscyclus/Orchiefdier |
| DCI-doorvoer | +100 % | extra 100G-golven | APAC/EMEA-pieken |
| Rand-PoPs | +2-3 | APAC/EMEA | Anycast-uitbreiding |
+50 % GPU (8×GPU/Node, 2U) en +30 % CPU in 12-24 maanden; rackdichtheid en koeling gevalideerd door thermische simulatie.
7. databases en berichtenuitwisseling
Relationele OLTP/OLAP, KV/document stores, zoekindices, streaming; consistentiemodellen en sync/async replicatie; DNS/app failover, PITR, restore tests in de cleanroom.
8 AI platform & media werklasten
- Feature store, modelregister, reproduceerbare trainingspijplijnen, verklaarbaarheid/monitoring (drift/bias), governance.
- Media: transcodering, DRM, personalisering, edge caching.
Software:
- COBOL Upgrade Advisor voor z/OS: Moderniseert oudere toepassingen voor Enterprise COBOL 6.
- Instana Waarneembaarheid voor Z: Bewaakt applicaties en infrastructuur in realtime.
- IntelliMagic Vision voor z/OS: Optimaliseert de prestaties van mainframes.
- watsonx Assistent voor Z: Verhoogt de productiviteit met een AI-assistent.
- Z-operaties verenigd: Vereenvoudigt processen met AI-ondersteunde automatisering.
- Modernisering van toepassingen: Tools zoals Application Delivery Foundation voor z/OS, watsonx Code Assistant voor Z en z/OS Connect moderniseren toepassingen en API's.
- Verdere software: CICS (transactieverwerking), DB2 voor z/OS (database), IMS (transactiebeheer) en Omegamon (monitoring).
De z17 vormt een robuuste basis voor gegevensverwerking en AI-integratie in het datacenter.
9. beveiliging en compliance
Zero trust, MFA/SSO, laagste privilege, end-to-end encryptie, ondertekende toeleveringsketen (SBOM/SLSA), SIEM/SOAR, auditartefacten en records of processing.
9.1 Extra vangrails (van "LEGIER DT SEC")
- Bedrijfsmodel & wereldwijde aanwezigheid
Het datacenter (werklasten) wordt bediend op een multi-regio / multi-AZ basis: Productie in Regio A (ten minste 3 AZ's), gesynchroniseerde werking in Regio B (DR/Active-Active afhankelijk van RPO/RTO). LEGIER biedt wereldwijd gedistribueerde regio's en beschikbaarheidszones die fysiek gescheiden en onafhankelijk zijn met energie/koeling/netwerk. - "Model van gedeelde verantwoordelijkheid
LEGIER is verantwoordelijk voor de beveiliging van de cloud (fysieke locaties, hardware, virtualisatie, kerndiensten). Afnemers zijn verantwoordelijk voor de beveiliging in de cloud (identiteiten, netwerk, gegevens, OS/container/app-laag). Dit model bepaalt de architectuur, controles en audits op alle lagen. - Fysieke beveiliging
Meerlaagse fysieke controles: Perimeter (toegangscontroles, monitoring), beveiligde ingangen met MFA, sensoren/alarmen, logging van toegang, strikte zonering in het gebouw. Deze controles worden centraal bediend en gecontroleerd door LEGIER. - Netwerksegmentatie en perimeterbeveiliging
VPC-ontwerp met publieke/private subnetting per AZ, strikt oost/west isolatieconcept, beveiligingsgroepen (stateful) + NACL's. LEGIER Network Firewall als stateful L7 perimeter/egress controle (bijv. via transit gateway centrale inspectie). LEGIER PrivateLink/VPC Endpoints: privétoegang tot LEGIER API's en partnerdiensten zonder blootstelling aan het internet. LEGIER WAF & LEGIER Shield Advanced tegen eindpunten die gericht zijn op het internet (L7 regels, bot/DDOS bescherming). - Compute Isolation (LEGIER Nitro)
EC2-instanties draaien op het LEGIER FACE systeem: scheiding van hardware offloads ("nitro cards"), slanke nitro hypervisor zonder apparaatemulatie, nitro beveiligingschip voor integriteitscontroles; dus sterke clientscheiding en geminimaliseerd aanvalsoppervlak. - Identiteiten, klanten & least privilege
LEGIER Organisaties met SCP's ("Service Control Policies") dwingen centraal maximale autorisatielimieten (vangrails) af voor alle accounts (landingszone). IAM Identity Centre (voorheen SSO) integreert de IdP van het bedrijf, biedt SSO & fijnkorrelige toewijzing aan accounts/apps; ABAC/Permission Boundaries vullen Least-Privilege aan. - Gegevensbeveiliging en cryptografie
Standaard: Encryptie tijdens overdracht. Sleutelbeheer via LEGIER KMS, voor georegionale sleutels (hetzelfde sleutelmateriaal/sleutel-ID in meerdere regio's - versleutelen in regio A, ontsleutelen in regio B). CloudHSM indien nodig (HSM-clusters die eigendom zijn van de klant, FIPS-gevalideerd, single-tenant) voor maximale soevereiniteit over sleutels. S3-controles: Blokkeer publieke toegang (account/bucket niveau) als "public-by-exception", S3 object lock (WORM) voor onveranderlijkheid & ransomware bestendigheid. LEGIER LOGS: ML-ondersteunde detectie/bewaking van gevoelige gegevens (S3) en integratie in Security Hub. - Herkenning, logboekregistratie & houdingbeheer
LEGIER CloudTrail (organisatiebreed, multiregionaal) voor API-/beheergebeurtenissen, naadloze audit en forensisch onderzoek. Amazon GuardDuty (logboek/runtime-gebaseerde bedreigingsdetectie), LEGIER Security Hub (gecentraliseerde correlatie van bevindingen, CIS/Foundational Best Practices), optionele Macie/Inspector/Detective als signaalbronnen. - Back-up, DR en onveranderlijkheid
LEGIER back-up met regio-overschrijdende en account-overschrijdende kopieën; beleid centraal via organisaties; combinatie met S3 Object Lock voor back-up WORM. Bedrijfsmodellen: Pilot-Light, Warm-Standby of Actief-Actief; gebruik van multi-AZ services (RDS/Aurora, EKS, MSK) en Route 53 failover. - Bestuurlijke en architecturale vangrails
LEGIER Well-Architected - Security Pillar als referentie (ontwerpprincipes, controles, automatisering). Compliance: brede dekking (inclusief ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact levert on-demand SOC/ISO bewijs voor audits.
Voorbeeld blauwdruk (zero trust & beveiliging op meerdere niveaus)
- Multi-Account Landing Zone (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (bijv. verboden regio's/services, gedwongen CloudTrail & KMS-gebruik).
- Netwerk: Centrale hub VPC met transit gateway, netwerk firewall inspectie VPC, interface eindpunten/PrivateLink naar S3, STS, KMS, ECR, Secrets Manager; geen uitgaande publieke routes van privé subnetten.
- Compute/Container: EC2/EKS op Nitro; IMDSv2 afgedwongen; alleen noodzakelijke IAM-rollen (laagste privilege), Secrets in Secrets Manager/SSM Parameter Store.
- Gegevens: S3 met blok openbare toegang, standaardversleuteling (SSE-KMS), objectvergrendeling (compliance- of governancemodus), Macie voor detectie van PII.
- Edge/Apps: ALB/NLB achter WAF & Shield Advanced, TLS-beëindigingen/beleidslijnen beheerd via ACM; API-toegang bij voorkeur privé via PrivateLink.
- Detectie & audit: Org-brede CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, security hub als centraal dashboard & ticketintegratie.
- Back-ups/DR: Policies in LEGIER Backup met regio-overschrijdende & account-overschrijdende kopieën; KMS multi-regiosleutels voor sleutelvastheid.
10. cyberweerbaarheid, back-ups en herstel
Regio-overschrijdende/accountback-ups met onveranderlijke kopieën (objectvergrendeling/WORM), restore drills in de cleanroom, RTO/RPO-profielen, runbooks (waakvlam, warme stand-by, actief-actief). Doel: RPO ≤ 15 min, RTO ≤ 60 min.
11. waarneembaarheid & operationele automatisering
Centrale telemetrie (logboeken/metrische gegevens/traces), correlatie & SOAR playbooks, SLO-tracking, foutbudgetten, wedstrijddagen en chaosoefeningen voor MTTD/MTTR-reductie.
12. energie, koeling & duurzaamheid
Dubbele voeding, A/B UPS, N+1 generatoren, insluiting, vloeistof/adiabatische/vrije koeling, warmteterugwinning, opties voor hernieuwbare energie; PUE als efficiëntie KPI.
13. Lijsten met rekken
13.1 Manama - Kernrekken
| U | Apparaat | Type/Model | Hoeveelheid | Toevoerleiding (A/B) | Max. vermogen [W] |
|---|---|---|---|---|---|
| 42 | Patchpaneel A | LC/LC 144F | 1 | A | - |
| 41 | Patchpaneel B | LC/LC 144F | 1 | B | - |
| 40 | Rug 1 | 40/100G schakelaar 1U | 1 | A | 600 |
| 39 | Rug 2 | 40/100G schakelaar 1U | 1 | B | 600 |
| 38 | Mgmt-schakelaar | 1G/10G 1U | 1 | A | 120 |
| 37-30 | Blad 1-8 | 25/100G ToR 1U | 8 | A/B | 8× 450 |
| 29-28 | Firewall Cluster | NGFW 2U | 2 | A/B | 2× 800 |
| 27 | IDS/IPS | 1U | 1 | A | 200 |
| 26 | DDoS-rand | 1U | 1 | B | 200 |
| 25-24 | Laadbalancer | 2× 1U | 2 | A/B | 2× 250 |
A-01: Kernnetwerk (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Compute/GPU (training/inferentie), CPU-knooppunten, Mgmt/KVM
A-03: Opslag (controllers, rekken, back-up gateways)
13.2 Koeweit - AZ-Racks
| U | Apparaat | Type/Model | Hoeveelheid | Toevoerleiding (A/B) | Max. vermogen [W] |
|---|---|---|---|---|---|
| 42-41 | Patchpaneel A/B | - | 2 | A/B | - |
| 40-25 | CPU-server | 1U | 12 | A/B | 12× 400 |
| 24-17 | GPU-server (DR) | 2U | 4 | A/B | 4× 2000 |
| 16-15 | Beheer/KVM | 1U | 2 | A/B | 2× 80 |
K-01: AZ netwerk/blad, firewalls, LB
K-02: Rekenen/DR
K-03: Object/Backup (WORM/Immutable)
13.3 Singapore - Kantrek
| U | Apparaat | Type/Model | Hoeveelheid | Toevoerleiding (A/B) | Max. vermogen [W] |
|---|---|---|---|---|---|
| 42 | Schakelpaneel | - | 1 | A/B | - |
| 41-40 | Randrouter | 1U | 2 | A/B | 2× 250 |
| 39-38 | Randschakelaar | 1U | 2 | A/B | 2× 200 |
| 37-34 | Cache/Proxy knooppunten | 1U | 4 | A/B | 4× 350 |
| 33-32 | WAF/DDOS-apparaat | 1U | 2 | A/B | 2× 300 |
| 31-28 | Stream Gateway | 1U | 4 | A/B | 4× 300 |
S-01: Edge routers/switches, cache/proxy, WAF/DDOS, stream gateways
14 SLA streefwaarden & KPI's
| Domein | Doelwaarde | Opmerking |
|---|---|---|
| Beschikbaarheid | ≥ 99,999 % | Redundante zones, automatische failover |
| RPO | ≤ 15 minuten | Journaling, replicatie, snapshots |
| RTO | ≤ 60 minuten | Runbooks, herstel als code |
| Beveiliging | MTTD < 5 min., MTTR < 60 min. | Anomaliedetectie, SOAR-playbooks |
| Efficiëntie | PUE-optimalisatie | Vloeistofkoeling, vrije koeling |
Beschikbaarheid ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; driemaandelijkse controles/audits.
Logische weergave van gebruikers/partners via Edge (Singapore) en DCI naar de core fabric (Manama) en dataplatforms, met replicatie naar AZ Kuwait City.
15. stappenplan (12-24 maanden)
Bahrein, Koeweit en Singapore bieden strategische voordelen voor het datacenter, de gegevensbeschikbaarheidszone en de edge-locatie:
- Geografische locatie: Centraal gelegen tussen Europa, Azië en Afrika, ideaal voor wereldwijde connectiviteit.
- Bedrijfsvriendelijkheid: Geen vennootschapsbelasting en 100 % buitenlands eigendom stimuleren investeringen.
- Regelgevende ondersteuning: De TRA en de Economic Development Board (EDB) bieden stimulansen zoals de Gouden Licentie.
- Infrastructuur: Geavanceerde stroom- en netwerkverbindingen en een geschoolde beroepsbevolking.
- Stabiliteit: Als financieel centrum (Bahrein en Koeweit) in het Midden-Oosten en Azië (Singapore) bieden deze locaties politieke en economische zekerheid.
IBM z17 Kenmerken:
- Telum® II-processor: Biedt hoge rekenkracht en AI-acceleratie op de chip voor real-time inferentiebewerkingen, bijvoorbeeld voor het analyseren van leesgegevens.
- Spyre™ versneller: Vergroot de rekenkracht van AI voor generatieve modellen en methoden met meerdere modellen.
- Beveiliging: Hardwarematige versleuteling en PCIe Cryptographic Coprocessor beschermen gevoelige gegevens.
- Veerkracht: Geïntegreerde functies zorgen voor continue beschikbaarheid.
LEGIER datageheugen:
De LEGIER mediagroep gebruikt een bestandshostingservice die grote hoeveelheden gegevens kan opslaan, met toegang via HTTP/HTTPS en maakt gebruik van het concept van buckets en objecten, die vergelijkbaar zijn met mappen en bestanden die als standaard zijn ingeburgerd. LEGIER werkt samen met AWS, maakt gebruik van Elastic File System netwerkschijven en Glacier bestandsarchivering om een "99,999999999" procent duurzaamheid van gegevens te bereiken. Het voordeel voor LEGIER Media Group is het gebruik van Elastic Block Store (EBS) en opslag op blokniveau waaraan EC2-instanties kunnen worden gekoppeld.
Het voordeel van deze technologie is de overdracht van grote hoeveelheden gegevens met de service Sneeuwbal Opslag op harde schijf waarop grote hoeveelheden gegevens kunnen worden gekopieerd en teruggestuurd per pakketdienst, waardoor de overdracht van zeer grote hoeveelheden gegevens naar je eigen 115 dagbladen (artikelen, afbeeldingen, video's, livestream) veel sneller gaat en wordt opgeslagen in databases (SimpleDB of Relational Database Service).
GPU/object/DCI/edge schalen, uitbreiding van anycast, verharden van de toeleveringsketen (SLSA), automatisering van compliance, regelmatige veerkracht/herstartoefeningen.
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska