LEGIER RECHTSZENTRUM: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)
Tabel de conținut
Mai des, Sky Look1. Rezumat executiv
The GRUPUL LEGIER operează un ecosistem de centre de date pe mai multe niveluri cu Manama (Core), Kuwait City (AZ) și Singapore (Edge). Acesta oferă niveluri separate, dar integrate, pentru rețea, calculatoare, stocare, date, inteligență artificială și securitate.
Obiective: Disponibilitate ridicată, securitate zero-trust, latență redusă și conformitate demonstrabilă.
Cu autorizarea Autoritatea de reglementare în domeniul telecomunicațiilor (TRA) în Bahrain, centrul de date LEGIER utilizează tehnologii de ultimă generație, cum ar fi propriile componente AI, Urma întunecată-soluții de securitate și IBM mainframe-tehnologie pentru a asigura o platformă fiabilă, scalabilă și sigură. Bahrain și Kuweit oferă avantaje specifice de localizare care optimizează operațiunile.
Principii directoare:
- Principiul confidențialității (KMS/HSM)
- Reziliență multi-AZ/regiune
- Copii de rezervă între conturi
- GitOps/IaC cu artefacte semnate
- Funcționarea SRE cu SLO și automatizare (SOAR)
Centrul de date din Manama este proiectat pentru a îndeplini cerințele exigente ale unei companii media globale:
- Disponibilitate ridicată: Un timp de funcționare de 99,999 % este obținut prin sisteme redundante, cum ar fi surse duble de alimentare, generatoare de rezervă și hardware oglindit pentru a asigura producția continuă de mesaje.
- Scalabilitate: Infrastructura poate fi extinsă în mod flexibil pentru a face față creșterii volumului de date și a cerințelor de calcul - esențiale pentru producția în nouă limbi din întreaga lume.
- Prelucrarea și stocarea datelor: Milioane de puncte de date text, imagine și video sunt procesate și stocate în timp real. SSD-urile rapide și o rețea robustă de stocare (SAN) asigură eficiența.
- Suport AI: GPU-urile și TPU-urile puternice suportă sarcini de lucru AI complexe, cum ar fi analiza conținutului și traducerea.
- Securitatea cibernetică: Datele sensibile necesită protecție avansată, care este asigurată de Urma întunecată-tehnologii.
Cazuri de utilizare a IA
- Analiza conținutului:
- Tehnologie: Învățarea profundă și prelucrarea limbajului natural (NLP) cu modele precum BERT analizează textele, clasifică conținutul și extrag informațiile relevante.
- Beneficiu: Accelerează procesarea mesajelor și îmbunătățește acuratețea, de exemplu, la recunoașterea tendințelor sau a subiectelor cheie.
- Sisteme de recomandare:
- Tehnologie: Învățarea automată cu filtrare colaborativă și rețele neuronale personalizează conținutul pentru cititori.
- Beneficiu: Crește loialitatea utilizatorilor prin recomandări de lectură personalizate, de exemplu pentru conținut specific regional sau lingvistic.
- Raportare automatizată:
- Tehnologie: Modelele generative de inteligență artificială, precum GPT, creează rapoarte de rutină, cum ar fi rezultatele meteorologice sau sportive.
- Beneficiu: Eliberează redactorii care se pot concentra pe jurnalismul de investigație sau pe analize complexe.
- Traduceri în timp real:
- Tehnologie: Instrumente de inteligență artificială precum DeepL sau propriile noastre modele traduc conținut în nouă limbi în timp real.
- Beneficiu: Permite publicarea imediată a știrilor globale, un avantaj cheie pentru cele 115 ziare.
- Recunoașterea imaginilor și video:
- Tehnologie: Rețelele neuronale convoluționale (CNN) etichetează și evaluează automat conținutul vizual.
- Beneficiu: Accelerează publicarea conținutului multimedia prin crearea automată de metadate.
2. locații și topologie
2.1 Manama (Bahrain) - Regiunea centrală
Control/orchestrare centralizată, clustere GPU/CPU, niveluri de obiecte, SIEM/SOAR/KMS/PKI, DNS/directory, depozite de artefacte (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, separare VRF.
2.2 Zona de disponibilitate a datelor (AZ) Kuwait City
Reziliență/decuplare geografică; profiluri de replicare pentru fiecare clasă de date (sincronă/aproape sincronă/asincronă); domenii de eroare izolate, puncte de ieșire dedicate, delimitare IAM, capacități DR (Pilot-Light-Active-Active).
2.3 Locație de margine Singapore (KDDI Asia Pacific)
PoP de margine neutru față de operator (CDN/caching, WAF/DDoS, streaming). Date master prin replicare securizată; obiectiv: latență APAC minimă fără rută publică în subrețele sensibile.
3. arhitectura rețelei și a interconectării
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore prin DWDM/MPLS, QoS pentru replicare/back-up, monitorizare latență/jitter cu selecție dinamică a căii.
Perimetru: NGFW, inspecție L7, filtru DNS, whitelisting la ieșire. Izolare est/vest: VRF/VXLAN, SG/NACL, mTLS, acces JIT.
4. nivel de calcul, virtualizare și containere
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orchestrare VM, noduri GPU (precizie mixtă), IMDSv2, imagini semnate (Cosign), verificare SBOM, controler de admitere, seccomp/AppArmor. Secrete cu backend KMS.
Clienți: Spații de nume/Proiecte, ABAC/RBAC, Limite de permisiune, Politici de rețea cu refuz implicit, Service Mesh mTLS, Anti-Affinity.
5. platforme de stocare și date
NVMe flash pentru latență redusă, SAN/NAS pentru stocurile VM/DB, S3 object store cu versionare, ciclu de viață, WORM și replicare Manama↔Kuwait; edge cache-uri în Singapore pentru media.
Standarde: Blocare acces public, refuz implicit, criptare client/server (KMS/HSM), logare write-once, partajare publică prin excepție.
6. planificarea capacității
6.1 Calculați
| Resurse | Cantitate | Bugetul serviciului pe unitate | Total | Observație |
|---|---|---|---|---|
| IBM z17 (cadru mainframe) | 1 Cadru | n/a | n/a | Inferența tranzacțiilor/AI în apropierea sistemelor de bază |
| Server GPU (2U, 8× GPU) | 24 noduri | 2 kW | ≈ 48 kW | Formare/inferență, imagine/video/NLP |
| Calculator CPU (1U) | 80 de noduri | 0,4 kW | ≈ 32 kW | Web/Microservicii/K8s Worker |
| TPU/AI aparate | 8 Aparate | 1,2 kW | ≈ 9,6 kW | Sarcini de lucru specializate în IA |
6.2 Memorie
| Animal | Capacitate | Performanță | Utilizare |
|---|---|---|---|
| NVMe primar (nivel 0/1) | ≈ 600 TB | ≈ 12 kW | I/O-intensive (jurnale/hot date) |
| SAN/NAS (bloc/fișier) | ≈ 2,5 PB | ≈ 18 kW | Stocuri DB/VM/părți editoriale |
| Memorie obiect (compatibilă S3) | ≈ 8 PB | ≈ 10 kW | Media, versiuni, arhive |
| Nivelul de arhivare (WORM / rece) | ≈ 20 PB | ≈ 6 kW | Depozitare pe termen lung, conformitate |
6.3 Rețea/DCI
| Componentă | Randament | Tehnologie | Observație |
|---|---|---|---|
| Uplink-uri tesatura | 100/200/400 Gbit/s | Spine-Leaf, ECMP | Scalabil orizontal |
| DCI Manama-Kuwait | ≥ 2× 100 Gbit/s | DWDM/MPLS (redundant) | Sincron/aproape sincron în funcție de volumul de lucru |
| DCI Manama-Singapore | ≥ 2× 100 Gbit/s | Redundanța furnizorului | Edge caching/streaming |
| Anycast/DDoS/WAF | Global | Curățarea marginilor | Protecție și latență redusă |
6.4 Energie/răcire
| Resurse | Interpretare | Obiectiv | Indicație |
|---|---|---|---|
| Șine UPS | A/B | N+1 | Căi duble |
| Generatoare | N+1 | Diesel + ATS | Teste transnaționale trimestriale |
| Răcire | Răcire cu lichid/fără răcire | Îmbunătățirea PUE | Izolarea culoarului rece/cald |
| Solar/CHP (opțional) | Scalabil | Sustenabilitate | Netezirea sarcinii de vârf |
| Domeniu | Scalare | Măsură | Observație |
|---|---|---|---|
| Capacitatea GPU | +50 % | Extindere cluster, rafturi suplimentare | Extindere modulară |
| Memoria obiectului | +40 % | Extensii pentru rafturi | Ciclu de viață/Arhiva animal |
| Producția DCI | +100 % | unde 100G suplimentare | Vârfurile APAC/EMEA |
| PoPs de margine | +2-3 | APAC/EMEA | Extensie Anycast |
+50 % GPU (8×GPU/Node, 2U) și +30 % CPU în 12-24 luni; densitatea rack-urilor și răcirea validate prin simulare termică.
7. baze de date și mesagerie
OLTP/OLAP relațional, magazine KV/documente, indici de căutare, streaming; modele de consistență și replicare sync/async; failover DNS/app, PITR, teste de restaurare în camera curată.
8 Platforma AI și volumele de lucru media
- Magazin de caracteristici, registru de modele, conducte de formare reproductibile, explicabilitate/monitorizare (derivă/bias), guvernanță.
- Media: transcodare, DRM, personalizare, edge caching.
Software:
- COBOL Upgrade Advisor pentru z/OS: Modernizează aplicațiile vechi pentru Enterprise COBOL 6.
- Observabilitate Instana pentru Z: Monitorizează aplicațiile și infrastructura în timp real.
- IntelliMagic Vision pentru z/OS: Optimizează performanța mainframe-ului.
- watsonx Asistent pentru Z: Crește productivitatea cu ajutorul unui asistent AI.
- Operațiunile Z Unite: Simplifică procesele cu ajutorul automatizării susținute de AI.
- Modernizarea aplicațiilor: Instrumente precum Application Delivery Foundation pentru z/OS, watsonx Code Assistant pentru Z și z/OS Connect modernizează aplicațiile și API-urile.
- Software suplimentar: CICS (procesarea tranzacțiilor), DB2 pentru z/OS (baza de date), IMS (gestionarea tranzacțiilor) și Omegamon (monitorizare).
Z17 formează o bază solidă pentru procesarea datelor și integrarea inteligenței artificiale în centrul de date.
9. securitate și conformitate
Încredere zero, MFA/SSO, privilegii minime, criptare de la un capăt la altul, lanț de aprovizionare semnat (SBOM/SLSA), SIEM/SOAR, artefacte de audit și înregistrări de prelucrare.
9.1 Bariere de protecție suplimentare (de la "LEGIER DT SEC")
- Modelul operațional și amprenta globală
Centrul de date (sarcini de lucru) este exploatat pe o bază multi-regiune / multi-AZ: Producție în regiunea A (cel puțin 3 AZ), funcționare sincronizată în regiunea B (DR/Active-Active în funcție de RPO/RTO). LEGIER oferă regiuni și zone de disponibilitate distribuite la nivel global, care sunt separate fizic și independente din punct de vedere al energiei/răcirii/rețelei. - "Modelul responsabilității partajate"
LEGIER este responsabil pentru securitatea cloud-ului (locații fizice, hardware, virtualizare, servicii de bază). Clienții sunt responsabili pentru securitatea în cloud (identități, rețea, date, nivel OS/container/aplicație). Acest model determină arhitectura, controalele și auditurile în toate straturile. - Securitatea fizică
Controale fizice multistratificate: Perimetru (controale de acces, monitorizare), intrări securizate cu MFA, senzori/alarme, înregistrarea accesului, zonare strictă în clădire. Aceste controale sunt operate și verificate la nivel central de LEGIER. - Segmentarea rețelei și protecția perimetrului
Proiectare VPC cu subrețea publică/privată per AZ, concept strict de izolare est-vest, grupuri de securitate (statice) + NACL-uri. Firewall de rețea LEGIER ca control de perimetru/ieșire L7 staționar (de exemplu, prin inspecție centrală a gateway-ului de tranzit). LEGIER PrivateLink/VPC Endpoints: acces privat la API-urile LEGIER și la serviciile partenerilor fără expunere la internet. LEGIER WAF & LEGIER Shield Advanced împotriva punctelor finale orientate către internet (reguli L7, protecție împotriva bot/DDoS). - Calculați izolarea (LEGIER Nitro)
Instanțele EC2 rulează pe sistemul LEGIER FACE: separarea descărcărilor hardware ("carduri nitro"), hipervizor nitro lean fără emulare de dispozitiv, cip de securitate nitro pentru verificări de integritate; astfel, separarea puternică a clienților și suprafața de atac minimizată. - Identități, clienți și cel mai mic privilegiu
LEGIER Organizațiile cu SCP ("Service Control Policies") aplică în mod centralizat limitele maxime de autorizare (guardrails) pentru toate conturile (zona de aterizare). IAM Identity Centre (fostul SSO) integrează IdP-ul companiei, oferă SSO și alocare fină pentru conturi/aplicații; ABAC/Permission Boundaries completează Least-Privilege. - Securitatea datelor și criptografie
Standard: Criptare în staționare/în tranzit. Gestionarea cheilor prin LEGIER KMS, pentru chei multiregionale georelabile (același material de chei/ același ID de chei în mai multe regiuni - criptare în regiunea A, decriptare în regiunea B). CloudHSM, dacă este necesar (clustere HSM deținute de client, validate FIPS, cu un singur locatar) pentru suveranitate maximă a cheilor. Controale S3: Blocarea accesului public (la nivel de cont/bucket) ca "public prin excepție", blocarea obiectelor S3 (WORM) pentru imuabilitate și rezistență la ransomware. LEGIER LOGS: detectarea/monitorizarea datelor sensibile (S3) cu suport ML și integrarea în Security Hub. - Recunoaștere, logare și gestionare a posturii
LEGIER CloudTrail (la nivelul întregii organizații, în mai multe regiuni) pentru evenimente API/management, audit fără întreruperi și analiză criminalistică. Amazon GuardDuty (detectarea amenințărilor bazată pe jurnal/timp de funcționare), LEGIER Security Hub (corelarea centralizată a constatărilor, CIS/Bunele practici fundamentale), Macie/Inspector/Detective opțional ca surse de semnal. - Backup, DR și imuabilitate
Copii de rezervă LEGIER cu copii între regiuni și conturi; politici centralizate prin organizații; combinație cu S3 Object Lock pentru backup WORM. Modele de operare: Pilot-Light, Warm-Standby sau Active-Active; utilizarea de servicii multi-AZ (RDS/Aurora, EKS, MSK) și failover Route 53. - Balustrade de protecție pentru guvernare și arhitectură
LEGIER Well-Architected - Pilon de securitate ca referință (principii de proiectare, controale, automatizare). Conformitate: acoperire largă (inclusiv ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact furnizează dovezi SOC/ISO la cerere pentru audituri.
Exemplu de proiect (încredere zero și securitate pe mai multe niveluri)
- Zona de aterizare cu mai multe conturi (Prod/Non-Prod/Securitate/Log-Archive) + SCP-Guardrails (de exemplu, regiuni/servicii interzise, utilizare forțată CloudTrail & KMS).
- Rețea: Hub central VPC cu gateway de tranzit, firewall de rețea de inspecție VPC, puncte finale de interfață/legătură privată către S3, STS, KMS, ECR, Secrets Manager; fără rute publice de ieșire din subrețele private.
- Compute/Container: EC2/EKS pe Nitro; IMDSv2 aplicat; numai rolurile IAM necesare (privilegii minime), secrete în Secrets Manager/SSM Parameter Store.
- Date: S3 cu acces public blocat, criptare implicită (SSE-KMS), blocarea obiectelor (mod de conformitate sau guvernanță), Macie pentru detectarea PII.
- Edge/Apps: ALB/NLB în spatele WAF & Shield Advanced, terminări/politici TLS gestionate prin ACM; acces API de preferință privat prin PrivateLink.
- Detectare și audit: CloudTrail la nivelul întregii organizații + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, hub de securitate ca tablou de bord central și integrare ticket.
- Copii de rezervă/DR: Politici în LEGIER Backup cu copii între regiuni și între conturi; chei KMS multiregionale pentru reziliența cheilor.
10. reziliență cibernetică, backup-uri și recuperare
Copii de siguranță între regiuni/conturi cu copii neschimbabile (object lock/WORM), exerciții de restaurare în camera curată, profiluri RTO/RPO, runbooks (pilot light, warm standby, active-active). Obiectiv: RPO ≤ 15 min, RTO ≤ 60 min.
11. observabilitate și automatizare operațională
Telemetrie centrală (jurnale/metrici/traiecte), corelație și playbooks SOAR, urmărirea SLO, bugete de erori, zile de joc și exerciții de haos pentru reducerea MTTD/MTTR.
12. energie, răcire și durabilitate
Alimente duble, UPS A/B, generatoare N+1, izolare, răcire cu lichid/adiabatică/free cooling, recuperare de căldură, opțiuni regenerabile; PUE ca KPI de eficiență.
13. liste de rafturi
13.1 Manama - Rafturi de bază
| U | Dispozitiv | Tip/Model | Cantitate | Linie de alimentare (A/B) | Putere maximă [W] |
|---|---|---|---|---|---|
| 42 | Panou de conectare A | LC/LC 144F | 1 | A | - |
| 41 | Panou de conectare B | LC/LC 144F | 1 | B | - |
| 40 | Coloană vertebrală 1 | Comutator 40/100G 1U | 1 | A | 600 |
| 39 | Coloană vertebrală 2 | Comutator 40/100G 1U | 1 | B | 600 |
| 38 | Mgmt-Switch | 1G/10G 1U | 1 | A | 120 |
| 37-30 | Frunza 1-8 | 25/100G ToR 1U | 8 | A/B | 8× 450 |
| 29-28 | Clusterul Firewall | NGFW 2U | 2 | A/B | 2× 800 |
| 27 | IDS/IPS | 1U | 1 | A | 200 |
| 26 | DDoS Edge | 1U | 1 | B | 200 |
| 25-24 | Balancer de încărcare | 2× 1U | 2 | A/B | 2× 250 |
A-01: Rețea centrală (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Calculatoare/GPU (formare/inferință), noduri CPU, Mgmt/KVM
A-03: Stocare (controlere, rafturi, gateway-uri de rezervă)
13.2 Kuwait City - AZ-Racks
| U | Dispozitiv | Tip/Model | Cantitate | Linie de alimentare (A/B) | Putere maximă [W] |
|---|---|---|---|---|---|
| 42-41 | Panou de conectare A/B | - | 2 | A/B | - |
| 40-25 | Server CPU | 1U | 12 | A/B | 12× 400 |
| 24-17 | Server GPU (DR) | 2U | 4 | A/B | 4× 2000 |
| 16-15 | Gestiune/KVM | 1U | 2 | A/B | 2× 80 |
K-01: Rețea/foaie AZ, firewall-uri, LB
K-02: Calculator/DR
K-03: Obiect/Suport (WORM/Immutabil)
13.3 Singapore - Raft de margine
| U | Dispozitiv | Tip/Model | Cantitate | Linie de alimentare (A/B) | Putere maximă [W] |
|---|---|---|---|---|---|
| 42 | Panou de conectare | - | 1 | A/B | - |
| 41-40 | Router de margine | 1U | 2 | A/B | 2× 250 |
| 39-38 | Comutator de margine | 1U | 2 | A/B | 2× 200 |
| 37-34 | Noduri Cache/Proxy | 1U | 4 | A/B | 4× 350 |
| 33-32 | Aparat WAF/DDoS | 1U | 2 | A/B | 2× 300 |
| 31-28 | Stream Gateway | 1U | 4 | A/B | 4× 300 |
S-01: routere/switch-uri de margine, cache/proxy, WAF/DDoS, gateway-uri de flux
14 Valori țintă SLA și KPI
| Domeniu | Valoarea țintă | Observație |
|---|---|---|
| Disponibilitate | ≥ 99,999 % | Zone redundante, failover automat |
| RPO | ≤ 15 minute | Jurnalizare, replicare, instantanee |
| RTO | ≤ 60 de minute | Runbooks, recuperare ca cod |
| Securitate | MTTD < 5 min., MTTR < 60 min. | Detectarea anomaliilor, playbooks SOAR |
| Eficiență | Optimizarea PUE | Răcire cu lichid, răcire liberă |
Disponibilitate ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; revizuiri/audituri trimestriale.
Vizualizare logică a utilizatorilor/partenerilor prin Edge (Singapore) și DCI în structura centrală (Manama) și platformele de date, cu replicare în AZ Kuwait City.
15. foaie de parcurs (12-24 luni)
Bahrain, Kuweit și Singapore oferă avantaje strategice pentru centrul de date, zona de disponibilitate a datelor și locația periferică:
- Locație geografică: Situat central între Europa, Asia și Africa, ideal pentru conectivitatea globală.
- Prietenia față de mediul de afaceri: Lipsa impozitului pe profit și proprietatea străină de 100 % încurajează investițiile.
- Sprijin în materie de reglementare: TRA și Consiliul de Dezvoltare Economică (EDB) oferă stimulente precum Licența de Aur.
- Infrastructură: Conexiuni sofisticate de energie și de rețea și o bază de forță de muncă calificată.
- Stabilitate: Ca centru financiar (Bahrain și Kuweit) în Orientul Mijlociu și Asia (Singapore), aceste locații oferă securitate politică și economică.
IBM z17 Caracteristici:
- Procesor Telum® II: Oferă putere mare de calcul și accelerare AI pe cip pentru operații de inferență în timp real, de exemplu pentru analizarea datelor cititorilor.
- Accelerator Spyre™: Crește puterea de calcul a AI pentru modele generative și metode multi-model.
- Securitate: Criptarea bazată pe hardware și PCIe Cryptographic Coprocessor protejează datele sensibile.
- Reziliență: Funcțiile integrate asigură o disponibilitate continuă.
Memoria de date LEGIER:
Grupul media LEGIER utilizează un serviciu de găzduire de fișiere care poate stoca cantități mari de date, cu acces prin HTTP/HTTPS și utilizează conceptul de găleți și obiecte, care sunt similare directoarelor și fișierelor care au devenit standard. LEGIER lucrează împreună cu AWS, folosind unități de rețea Elastic File System și arhivarea fișierelor Glacier pentru a obține o durabilitate a datelor de "99,999999999" la sută. Avantajul pentru LEGIER Media Group este utilizarea Elastic Block Store (EBS) și stocarea la nivel de bloc la care pot fi atașate instanțe EC2.
Avantajul acestei tehnologii este transferul de cantități mari de date cu serviciul Bulgăre de zăpadă Stocarea pe hard disk a unor cantități mari de date care pot fi copiate și trimise înapoi prin serviciul de coletărie, prin care transferul unor cantități foarte mari de date către propriile 115 ziare (articole, imagini, videoclipuri, transmisiuni în direct) este mult mai rapid și stocate în baze de date (SimpleDB sau Relational Database Service).
Scalarea GPU/obiect/DCI/edge, extinderea anycast, întărirea lanțului de aprovizionare (SLSA), automatizarea conformității, exerciții regulate de reziliență/restart.
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska