LEGIER RECHTSZENTRUM: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)
Índice
Mais frequentemente, Sky Look1. Resumo executivo
O GRUPO LEGIER opera um ecossistema de centros de dados de vários níveis com Manama (Core), Cidade do Kuwait (AZ) e Singapura (Edge). Oferece camadas separadas, mas integradas, para rede, computação, armazenamento, dados, IA e segurança.
Objectivos: Alta disponibilidade, segurança de confiança zero, baixa latência e conformidade demonstrável.
Com a autorização do Autoridade Reguladora das Telecomunicações (TRA) no Barém, o centro de dados LEGIER utiliza tecnologias de ponta, como os seus próprios componentes de IA, Traço negro-soluções de segurança e mainframe IBM-para garantir uma plataforma fiável, expansível e segura. O Barém e o Kuwait oferecem vantagens de localização específicas que optimizam as operações.
Princípios orientadores:
- Privacidade em primeiro lugar (KMS/HSM)
- Resiliência multi-zona/região
- Cópias de segurança entre contas
- GitOps/IaC com artefactos assinados
- Funcionamento do SRE com SLOs e automatização (SOAR)
O centro de dados em Manama foi concebido para satisfazer os exigentes requisitos de uma empresa de media global:
- Alta disponibilidade: Um tempo de atividade de 99,999 % é conseguido através de sistemas redundantes, tais como fontes de energia duplas, geradores de reserva e hardware espelhado para garantir a produção contínua de mensagens.
- Escalabilidade: A infraestrutura pode ser expandida de forma flexível para fazer face ao aumento do volume de dados e dos requisitos informáticos - essencial para a produção em nove línguas em todo o mundo.
- Processamento e armazenamento de dados: Milhões de pontos de dados de texto, imagem e vídeo são processados e armazenados em tempo real. SSDs rápidos e uma rede de área de armazenamento (SAN) robusta garantem a eficiência.
- Suporte de IA: As potentes GPUs e TPUs suportam cargas de trabalho de IA complexas, como a análise de conteúdos e a tradução.
- Cibersegurança: Os dados sensíveis requerem uma proteção avançada, que é fornecida por Traço negro-tecnologias.
Casos de utilização da IA
- Análise de conteúdo:
- Tecnologia: A aprendizagem profunda e o processamento de linguagem natural (PNL) com modelos como o BERT analisam textos, categorizam conteúdos e extraem informações relevantes.
- Benefício: Acelera o processamento de mensagens e melhora a precisão, por exemplo, ao reconhecer tendências ou tópicos-chave.
- Sistemas de recomendação:
- Tecnologia: A aprendizagem automática com filtragem colaborativa e redes neuronais personaliza os conteúdos para os leitores.
- Benefício: Aumenta a fidelização dos utilizadores através de recomendações de leitura personalizadas, por exemplo, para conteúdos regionais ou linguísticos específicos.
- Relatórios automatizados:
- Tecnologia: Os modelos de IA generativa, como o GPT, criam relatórios de rotina, por exemplo, resultados meteorológicos ou desportivos.
- Benefício: Alivia os editores que podem concentrar-se no jornalismo de investigação ou em análises complexas.
- Traduções em tempo real:
- Tecnologia: Ferramentas de IA como DeepL ou os nossos próprios modelos traduzem conteúdos em nove línguas em tempo real.
- Benefício: Permite a publicação imediata de notícias globais, uma vantagem fundamental para os 115 jornais.
- Reconhecimento de imagem e vídeo:
- Tecnologia: As redes neuronais convolucionais (CNN) marcam e avaliam automaticamente o conteúdo visual.
- Benefício: Acelera a publicação de conteúdos multimédia através da criação automática de metadados.
2. localizações e topologia
2.1 Manama (Barém) - Região central
Controlo centralizado/orquestração, clusters GPU/CPU, camadas de objectos, SIEM/SOAR/KMS/PKI, DNS/diretório, repositórios de artefactos (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, separação VRF.
2.2 Zona de disponibilidade de dados (AZ) Cidade do Kuwait
Resiliência/desacoplamento geográfico; perfis de replicação por classe de dados (síncrono/próximo-síncrono/assíncrono); domínios de erro isolados, pontos de saída dedicados, delimitação do âmbito do IAM, capacidades de DR (Piloto-Luz-Ativo-Ativo).
2.3 Edge location Singapura (KDDI Asia Pacific)
PoP de borda neutra para operadora (CDN/caching, WAF/DDoS, streaming). Dados principais através de replicação segura; objetivo: latência APAC mínima sem rota pública em sub-redes sensíveis.
3. arquitetura de rede e interligação
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapura via DWDM/MPLS, QoS para replicação/backups, monitorização de latência/jitter com seleção dinâmica de caminhos.
Perímetro: NGFW, inspeção L7, filtro DNS, lista branca de saída. Isolamento leste/oeste: VRF/VXLAN, SG/NACL, mTLS, acesso JIT.
4. camada de computação, virtualização e contentores
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orquestração de VM, nós GPU (precisão mista), IMDSv2, imagens assinadas (Cosign), verificação SBOM, controlador de admissão, seccomp/AppArmor. Segredos com backend KMS.
Clientes: Namespaces/Projectos, ABAC/RBAC, Limites de permissão, NetworkPolicies de negação por defeito, Service Mesh mTLS, Anti-afinidade.
5. armazenamento e plataformas de dados
Flash NVMe para baixa latência, SAN/NAS para armazenamentos VM/DB, armazenamento de objectos S3 com controlo de versões, ciclo de vida, WORM e replicação Manama↔Kuwait; caches de ponta em Singapura para suportes.
Normas: Bloqueio do acesso público, recusa por defeito, encriptação do lado do cliente/servidor (KMS/HSM), registo de escrita única, partilhas públicas por exceção.
6. planeamento de capacidades
6.1 Calcular
| Recursos | Quantidade | Orçamento de serviço por unidade | Total | Observação |
|---|---|---|---|---|
| IBM z17 (estrutura de mainframe) | 1 Quadro | n/a | n/a | Inferência de transacções/IA perto de sistemas centrais |
| Servidor GPU (2U, 8× GPU) | 24 nós | 2 kW | ≈ 48 kW | Formação/inferência, imagem/vídeo/NLP |
| CPU de computação (1U) | 80 nós | 0,4 kW | ≈ 32 kW | Web/Microsserviços/K8s Worker |
| Aparelhos TPU/AI | 8 Aparelhos | 1,2 kW | ≈ 9,6 kW | Cargas de trabalho especializadas em IA |
6.2 Memória
| Animal | Capacidade | Desempenho | Utilização |
|---|---|---|---|
| NVMe primário (Nível 0/1) | ≈ 600 TB | ≈ 12 kW | I/O-intensivo (dados de journals/hot) |
| SAN/NAS (Bloco/Arquivo) | ≈ 2,5 PB | ≈ 18 kW | Armazéns DB/VM/partilhas editoriais |
| Memória de objectos (compatível com S3) | ≈ 8 PB | ≈ 10 kW | Media, versões, arquivos |
| Nível de arquivo (WORM/Cold) | ≈ 20 PB | ≈ 6 kW | Armazenamento a longo prazo, conformidade |
6.3 Rede/DCI
| Componente | Rendimento | Tecnologia | Observação |
|---|---|---|---|
| Uplinks de tecido | 100/200/400 Gbit/s | Folha de espinha, ECMP | Escalável horizontalmente |
| ICD Manama-Kuwait | ≥ 2× 100 Gbit/s | DWDM/MPLS (redundante) | Síncrono/quase-síncrono por carga de trabalho |
| ICD Manama-Singapura | ≥ 2× 100 Gbit/s | Redundância do fornecedor | Armazenamento em cache/streaming de ponta |
| Anycast/DDoS/WAF | Mundial | Lavagem de arestas | Proteção e baixa latência |
6.4 Energia/arrefecimento
| Recursos | Interpretação | Objetivo | Dica |
|---|---|---|---|
| Carris da UPS | A/B | N+1 | Caminhos duplos |
| Geradores | N+1 | Diesel + ATS | Testes transnacionais trimestrais |
| Arrefecimento | Arrefecimento líquido/livre | Melhoria da PUE | Contenção de corredores frios/quentes |
| Solar/CHP (opcional) | Escalável | Sustentabilidade | Regularização de picos de carga |
| Domínio | Escalonamento | Medida | Observação |
|---|---|---|---|
| Capacidade da GPU | +50 % | Expansão do cluster, racks adicionais | Expansão modular |
| Memória de objectos | +40 % | Extensões de prateleiras | Ciclo de vida/Arquivo animal |
| Débito DCI | +100 % | ondas 100G adicionais | Picos na APAC/EMEA |
| PoPs de borda | +2-3 | APAC/EMEA | Extensão Anycast |
+50 GPU % (8×GPU/Nó, 2U) e +30 CPU % em 12-24 meses; densidades de bastidor e arrefecimento validados por simulação térmica.
7. bases de dados e mensagens
OLTP/OLAP relacional, armazenamentos KV/documentos, índices de pesquisa, streaming; modelos de consistência e replicação sincronizada/assíncrona; failover DNS/aplicação, PITR, testes de restauro na sala limpa.
8 Cargas de trabalho de plataformas e meios de comunicação de IA
- Armazenamento de caraterísticas, registo de modelos, pipelines de formação reprodutíveis, explicabilidade/monitorização (desvios/viés), governação.
- Media: transcodificação, DRM, personalização, caching de ponta.
Software:
- COBOL Upgrade Advisor para z/OS: Moderniza as aplicações antigas para Enterprise COBOL 6.
- Instana Observabilidade para Z: Monitoriza as aplicações e a infraestrutura em tempo real.
- IntelliMagic Vision para z/OS: Optimiza o desempenho do mainframe.
- watsonx Assistente de Z: Aumenta a produtividade com um assistente de IA.
- Operações Z unidas: Simplifica os processos com automação suportada por IA.
- Modernização das aplicações: Ferramentas como o Application Delivery Foundation para z/OS, o Watsonx Code Assistant para Z e o z/OS Connect modernizam aplicações e APIs.
- Mais software: CICS (processamento de transacções), DB2 para z/OS (base de dados), IMS (gestão de transacções) e Omegamon (monitorização).
O z17 forma uma base robusta para processamento de dados e integração de IA no centro de dados.
9. segurança e conformidade
Confiança zero, MFA/SSO, privilégio mínimo, encriptação de extremo a extremo, cadeia de abastecimento assinada (SBOM/SLSA), SIEM/SOAR, artefactos de auditoria e registos de processamento.
9.1 Barreiras de proteção suplementares (de "LEGIER DT SEC")
- Modelo operacional e presença global
O centro de dados (cargas de trabalho) é operado numa base multi-região / multi-AZ: Produção na Região A (pelo menos 3 AZs), operação sincronizada na Região B (DR/Active-Active dependendo do RPO/RTO). A LEGIER fornece regiões e zonas de disponibilidade distribuídas globalmente que são fisicamente separadas e independentes em termos de energia/arrefecimento/rede. - "Modelo de responsabilidade partilhada"
A LEGIER é responsável pela segurança da nuvem (localizações físicas, hardware, virtualização, serviços principais). Os clientes são responsáveis pela segurança na nuvem (identidades, rede, dados, sistema operativo/contentor/camada de aplicações). Este modelo determina a arquitetura, os controlos e as auditorias em todos os níveis. - Segurança física
Controlos físicos em vários níveis: Perímetro (controlos de acesso, monitorização), entradas seguras com MFA, sensores/alarmes, registo de acesso, zonamento rigoroso do edifício. Estes controlos são operados e verificados centralmente pela LEGIER. - Segmentação da rede e proteção do perímetro
Conceção de VPC com sub-rede pública/privada por AZ, conceito rigoroso de isolamento este/oeste, grupos de segurança (stateful) + NACLs. Firewall de rede LEGIER como controlo de perímetro/saída L7 com estado (por exemplo, através de inspeção central de gateway de trânsito). LEGIER PrivateLink/VPC Endpoints: Acesso privado a APIs LEGIER e serviços de parceiros sem exposição na Internet. LEGIER WAF & LEGIER Shield Advanced contra endpoints virados para a Internet (regras L7, proteção bot/DDoS). - Isolamento de computação (LEGIER Nitro)
As instâncias EC2 são executadas no sistema LEGIER FACE: separação de descargas de hardware ("cartões nitro"), hipervisor nitro simples sem emulação de dispositivos, chip de segurança nitro para verificações de integridade; assim, há uma forte separação entre clientes e uma superfície de ataque minimizada. - Identidades, clientes e privilégio mínimo
As organizações LEGIER com SCPs ("Políticas de Controlo de Serviços") aplicam centralmente limites máximos de autorização (guardrails) para todas as contas (zona de aterragem). O Centro de Identidade IAM (anteriormente SSO) integra o IdP da empresa, oferece SSO e atribuição de grau fino a contas/aplicações; ABAC/Limites de Permissão complementam o Least-Privilege. - Segurança de dados e criptografia
Norma: Encriptação em repouso/em trânsito. Gestão de chaves através do LEGIER KMS, para chaves multi-região de geo-resiliência (mesmo material de chave/identificação de chave em várias regiões - encriptar na região A, desencriptar na região B). CloudHSM, se necessário (clusters de HSM de propriedade do cliente, validados por FIPS, com um único locatário) para máxima soberania das chaves. Controlos S3: Bloquear o acesso público (nível de conta/bucket) como "público por exceção", bloqueio de objectos S3 (WORM) para imutabilidade e resistência a ransomware. LEGIER LOGS: deteção/monitorização suportada por ML de dados sensíveis (S3) e integração no Security Hub. - Reconhecimento, registo e gestão da postura
LEGIER CloudTrail (em toda a organização, multi-região) para eventos de API/gestão, auditoria e análise forense contínuas. Amazon GuardDuty (deteção de ameaças com base no registo/tempo de execução), LEGIER Security Hub (correlação centralizada de resultados, CIS/Melhores Práticas Fundamentais), Macie/Inspetor/Detetive opcionais como fontes de sinal. - Cópia de segurança, recuperação de desastres e imutabilidade
Backup LEGIER com cópias inter-regiões e inter-contas; políticas centralizadas através de organizações; combinação com S3 Object Lock para backup WORM. Modelos de funcionamento: Pilot-Light, Warm-Standby ou Active-Active; utilização de serviços multi-AZ (RDS/Aurora, EKS, MSK) e failover Route 53. - Barreiras de proteção arquitectónicas e de governação
LEGIER Well-Architected - Pilar de Segurança como referência (princípios de conceção, controlos, automatização). Conformidade: ampla cobertura (incluindo ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact fornece provas SOC/ISO a pedido para auditorias.
Exemplo de projeto (confiança zero e segurança multinível)
- Zona de aterragem de várias contas (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (por exemplo, regiões/serviços proibidos, utilização forçada do CloudTrail e KMS).
- Rede: VPC de hub central com gateway de trânsito, VPC de inspeção de firewall de rede, pontos finais de interface/ligação privada para S3, STS, KMS, ECR, Gestor de Segredos; sem rotas públicas de saída de sub-redes privadas.
- Computador/Contentor: EC2/EKS no Nitro; IMDSv2 aplicado; apenas as funções IAM necessárias (privilégio mínimo), segredos no Gestor de Segredos/Armazenamento de Parâmetros SSM.
- Dados: S3 com acesso público em bloco, encriptação predefinida (SSE-KMS), bloqueio de objectos (modo de conformidade ou governação), Macie para deteção de PII.
- Edge/Apps: ALB/NLB por detrás do WAF & Shield Advanced, terminações/políticas TLS geridas através do ACM; acesso à API preferencialmente privado através do PrivateLink.
- Deteção e auditoria: CloudTrail no âmbito da organização + balde de registo S3 (WORM), registos de fluxo GuardDuty/VPC/registos do resolvedor da rota 53, hub de segurança como painel de controlo central e integração de bilhetes.
- Cópias de segurança/DR: Políticas na cópia de segurança LEGIER com cópias entre regiões e entre contas; chaves multi-região KMS para resiliência de chaves.
10. ciber-resiliência, cópias de segurança e recuperação
Cópias de segurança entre regiões/contas com cópias inalteráveis (bloqueio de objectos/WORM), exercícios de restauro na sala limpa, perfis RTO/RPO, runbooks (luz piloto, espera quente, ativo-ativo). Objetivo: RPO ≤ 15 min, RTO ≤ 60 min.
11. observabilidade e automatização operacional
Telemetria central (registos/métricas/rastreios), livros de jogo de correlação e SOAR, acompanhamento de SLO, orçamentos de erros, dias de jogo e exercícios de caos para redução de MTTD/MTTR.
12. energia, refrigeração e sustentabilidade
Alimentação dupla, UPS A/B, geradores N+1, contenção, arrefecimento líquido/adiabático/livre, recuperação de calor, opções renováveis; PUE como KPI de eficiência.
13. Listas de prateleiras
13.1 Manama - Bastidores centrais
| U | Dispositivo | Tipo/Modelo | Quantidade | Linha de alimentação (A/B) | Potência máxima [W] |
|---|---|---|---|---|---|
| 42 | Painel de ligação A | LC/LC 144F | 1 | A | - |
| 41 | Painel de ligação B | LC/LC 144F | 1 | B | - |
| 40 | Lombada 1 | Comutador 40/100G 1U | 1 | A | 600 |
| 39 | Lombada 2 | Comutador 40/100G 1U | 1 | B | 600 |
| 38 | Mgmt-Switch | 1G/10G 1U | 1 | A | 120 |
| 37-30 | Folha 1-8 | 25/100G ToR 1U | 8 | A/B | 8× 450 |
| 29-28 | Cluster de firewall | NGFW 2U | 2 | A/B | 2× 800 |
| 27 | IDS/IPS | 1U | 1 | A | 200 |
| 26 | Borda DDoS | 1U | 1 | B | 200 |
| 25-24 | Balanceador de carga | 2× 1U | 2 | A/B | 2× 250 |
A-01: Rede principal (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Computador/GPU (formação/inferência), nós de CPU, gestão/KVM
A-03: Armazenamento (controladores, prateleiras, gateways de backup)
13.2 Cidade do Kuwait - AZ-Racks
| U | Dispositivo | Tipo/Modelo | Quantidade | Linha de alimentação (A/B) | Potência máxima [W] |
|---|---|---|---|---|---|
| 42-41 | Painel de ligação A/B | - | 2 | A/B | - |
| 40-25 | Servidor CPU | 1U | 12 | A/B | 12× 400 |
| 24-17 | Servidor GPU (DR) | 2U | 4 | A/B | 4× 2000 |
| 16-15 | Gestão/KVM | 1U | 2 | A/B | 2× 80 |
K-01: Rede AZ/folha, firewalls, LB
K-02: Computador/DR
K-03: Objeto/Backup (WORM/Imutável)
13.3 Singapura - Estante de borda
| U | Dispositivo | Tipo/Modelo | Quantidade | Linha de alimentação (A/B) | Potência máxima [W] |
|---|---|---|---|---|---|
| 42 | Painel de ligação | - | 1 | A/B | - |
| 41-40 | Router de extremidade | 1U | 2 | A/B | 2× 250 |
| 39-38 | Interruptor de borda | 1U | 2 | A/B | 2× 200 |
| 37-34 | Nós de Cache/Proxy | 1U | 4 | A/B | 4× 350 |
| 33-32 | Dispositivo WAF/DDoS | 1U | 2 | A/B | 2× 300 |
| 31-28 | Gateway de fluxo | 1U | 4 | A/B | 4× 300 |
S-01: Routers/switches de extremidade, cache/proxy, WAF/DDoS, gateways de fluxo
14 Valores-alvo de SLA e KPIs
| Domínio | Valor teórico | Observação |
|---|---|---|
| Disponibilidade | ≥ 99,999 % | Zonas redundantes, failover automático |
| RPO | ≤ 15 minutos | Registo no diário, replicação, instantâneos |
| RTO | ≤ 60 minutos | Livros de execução, recuperação como código |
| Segurança | MTTD < 5 min., MTTR < 60 min. | Deteção de anomalias, manuais SOAR |
| Eficiência | Otimização da PUE | Arrefecimento líquido, arrefecimento livre |
Disponibilidade ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; revisões/auditorias trimestrais.
Visão lógica dos utilizadores/parceiros via Edge (Singapura) e DCI para o tecido central (Manama) e plataformas de dados, com replicação para o AZ Kuwait City.
15. roteiro (12-24 meses)
O Bahrein, o Kuwait e Singapura oferecem vantagens estratégicas para o centro de dados, a zona de disponibilidade de dados e a localização periférica:
- Localização geográfica: Com uma localização central entre a Europa, a Ásia e a África, ideal para a conetividade global.
- Facilidade de utilização para as empresas: A ausência de impostos sobre as sociedades e a propriedade estrangeira a 100 % incentivam o investimento.
- Apoio regulamentar: O TRA e o Conselho de Desenvolvimento Económico (EDB) oferecem incentivos como a Licença Dourada.
- Infra-estruturas: Ligações eléctricas e de rede sofisticadas e uma base de mão de obra qualificada.
- Estabilidade: Enquanto centro financeiro (Barém e Kuwait) no Médio Oriente e na Ásia (Singapura), estes locais oferecem segurança política e económica.
IBM z17 Caraterísticas:
- Processador Telum® II: Oferece uma elevada capacidade de computação e aceleração de IA no chip para operações de inferência em tempo real, por exemplo, para analisar dados de leitores.
- Acelerador Spyre™: Aumenta a capacidade de computação da IA para modelos generativos e métodos multi-modelo.
- Segurança: A encriptação baseada em hardware e o coprocessador criptográfico PCIe protegem os dados sensíveis.
- Resiliência: As funções integradas garantem uma disponibilidade contínua.
Memória de dados LEGIER:
O grupo de media LEGIER utiliza um serviço de alojamento de ficheiros capaz de armazenar grandes quantidades de dados, com acesso via HTTP/HTTPS e utiliza o conceito de buckets e objectos, que são semelhantes aos diretórios e ficheiros que se tornaram padrão. A LEGIER trabalha em conjunto com a AWS, utilizando unidades de rede Elastic File System e o arquivamento de ficheiros Glacier para obter uma durabilidade de dados de "99,999999999" por cento. A vantagem para o LEGIER Media Group é a utilização do Elastic Block Store (EBS) e o armazenamento ao nível do bloco ao qual podem ser ligadas instâncias EC2.
A vantagem desta tecnologia é a transferência de grandes quantidades de dados com o serviço Bola de neve Armazenamento em disco rígido no qual grandes quantidades de dados podem ser copiadas e enviadas de volta por serviço de encomendas, pelo que a transferência de grandes quantidades de dados para os seus próprios jornais diários (artigos, imagens, vídeos, transmissão em direto) é muito mais rápida e armazenada em bases de dados (SimpleDB ou Relational Database Service).
Dimensionamento de GPU/objeto/DCI/borda, expansão de anycast, endurecimento da cadeia de abastecimento (SLSA), automatização da conformidade, exercícios regulares de resiliência/reinício.
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska