LEGIER КУРСОВОЙ ЦЕНТР: Манама (Бахрейн) - Data Зона доступности Кувейт-Сити - Пограничное местоположение Сингапур (KDDI Asia Pacific)
Оглавление
Чаще всего это Sky Look1. Резюме
Сайт LEGIER GROUP В компании действует многоуровневая экосистема Datacentre с Манамой (Core), Кувейт-Сити (AZ) и Сингапуром (Edge). Она предлагает отдельные, но интегрированные уровни для сети, вычислений, хранения, данных, искусственного интеллекта и безопасности.
Цели: Высокая доступность, безопасность Zero-Trust, низкая задержка и подтверждение соответствия стандартам.
Под одобрением Управление по регулированию телекоммуникаций (TRA) В центре обработки данных LEGIER, расположенном в Бахрейне, используются самые современные технологии, в том числе собственные компоненты искусственного интеллекта, Darktrace-решения в области безопасности и Мейнфрейм IBM-технологии, обеспечивающие надежную, масштабируемую и безопасную платформу. Бахрейн и Кувейт предлагают особые преимущества расположения, оптимизирующие работу.
Руководящие принципы:
Конфиденциальность на первом месте (KMS/HSM)
Устойчивость к внешним воздействиям в разных регионах
Резервное копирование между учетными записями
GitOps/IaC с подписанными артефактами
Эксплуатация SRE с SLO и автоматизацией (SOAR)
Центр обработки данных в Манаме спроектирован с учетом высоких требований глобальной медиакомпании:
Высокая доступность: Время безотказной работы 99,999 % достигается за счет резервных систем, таких как двойные источники питания, резервные генераторы и зеркалированное оборудование для обеспечения непрерывного производства сообщений.
Масштабируемость: Инфраструктура может быть гибко расширена, чтобы справиться с растущими объемами данных и вычислительными требованиями, что очень важно для производства на девяти языках по всему миру.
Обработка и хранение данных: Миллионы текстовых, графических и видеоданных обрабатываются и хранятся в режиме реального времени. Быстрые твердотельные накопители и надежная сеть хранения данных (SAN) обеспечивают эффективность.
Поддержка искусственного интеллекта: Мощные графические процессоры и процессоры TPU поддерживают сложные рабочие нагрузки ИИ, такие как анализ контента и перевод.
Кибербезопасность: Чувствительные данные требуют усиленной защиты, которую обеспечивают Darktrace-технологии.
Примеры использования искусственного интеллекта
Контент-анализ:
Технология: Глубокое обучение и обработка естественного языка (NLP) с помощью таких моделей, как BERT, анализируют тексты, классифицируют содержимое и извлекают необходимую информацию.
Польза: Ускоряет обработку сообщений и повышает точность, например, при распознавании тенденций или ключевых тем.
Рекомендательные системы:
Технология: Машинное обучение с коллаборативной фильтрацией и нейронными сетями персонализирует контент для читателей.
Польза: Повышение лояльности пользователей благодаря индивидуальным рекомендациям по чтению, например, для регионального или языкового контента.
Автоматизированная отчетность:
Технология: Генеративные модели ИИ, такие как GPT, создают рутинные отчеты, например, о погоде или спортивных результатах.
Польза: Разгружает редакторов, которые могут сосредоточиться на журналистских расследованиях или сложных аналитических материалах.
Переводы в режиме реального времени:
Технология: Инструменты искусственного интеллекта, такие как DeepL или наши собственные модели, переводят контент на девять языков в режиме реального времени.
Польза: Обеспечивает немедленную публикацию глобальных новостей, что является ключевым преимуществом для 115 газет.
Распознавание изображений и видео:
Технология: Конволюционные нейронные сети (CNN) автоматически маркируют и оценивают визуальный контент.
Польза: Ускоряет публикацию мультимедийного контента благодаря автоматизированному созданию метаданных.
Географическая устойчивость/разделение; профили репликации для каждого класса данных (синхронный/близкосинхронный/асинхронный); изолированные домены ошибок, выделенные точки выхода, масштабирование IAM, возможности DR (Pilot-Light-Active-Active).
2.3 Пограничное расположение Сингапур (KDDI Asia Pacific)
Нейтральный пограничный PoP (CDN/кэширование, WAF/DDoS, потоковое вещание). Мастер-данные через безопасную репликацию; цель: минимальная задержка в APAC без публичного маршрута в чувствительных подсетях.
3. архитектура сетей и межсетевых соединений
Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Манама-Кувейт-Сингапур через DWDM/MPLS, QoS для репликации/резервного копирования, мониторинг задержки/дрожания с динамическим выбором пути.
Периметр: NGFW, инспекция L7, фильтрация DNS, белые списки на выходе. Изоляция с востока на запад: VRF/VXLAN, SG/NACL, mTLS, JIT-доступ.
4. уровень вычислений, виртуализации и контейнеров
Kubernetes (HA-CP, PSS, OPA/Gatekeeper), оркестровка ВМ, GPU-узлы (смешанная точность), IMDSv2, подписанные образы (Cosign), проверка SBOM, контроллер допуска, seccomp/AppArmor. Secrets с бэкендом KMS.
Клиенты: Пространства имен/проекты, ABAC/RBAC, границы разрешений, сетевые политики с запретом по умолчанию, сервисная сетка mTLS, Anti-Affinity.
5. платформы для хранения и обработки данных
Флэш-память NVMe с низкой задержкой, SAN/NAS для хранилищ VM/DB, хранилище объектов S3 с версионированием, жизненным циклом, WORM и репликацией Манама↔Кувейт; граничные кэши в Сингапуре для носителей.
Стандарты: Блокировка публичного доступа, запрет по умолчанию, шифрование на стороне клиента/сервера (KMS/HSM), запись-выдача логов, общие ресурсы по исключениям.
6. планирование мощностей
6.1 Вычислить
Ресурс
Количество
Бюджет услуг на единицу продукции
Всего
Ремарка
IBM z17 (рама мэйнфрейма)
1 Рама
н/а
н/а
Транзакция/Интерпретация вблизи основных систем
GPU-сервер (2U, 8× GPU)
24 узла
2 кВт
≈ 48 кВт
Обучение/инференция, изображение/видео/НЛП
Вычислительный процессор (1U)
80 узлов
0,4 кВт
≈ 32 кВт
Web/Microservices/K8s Worker
Приборы TPU/AI
8 Приборы
1,2 кВт
≈ 9,6 кВт
Специализированные рабочие нагрузки ИИ
6.2 Память
Животные
Вместимость
Производительность
Используйте
Основной NVMe (уровень 0/1)
≈ 600 ТБ
≈ 12 кВт
Интенсивный ввод-вывод (Journals/Hot Data)
SAN/NAS (блок/файл)
≈ 2,5 ПБ
≈ 18 кВт
Хранилища DB/VM/редакционные ресурсы
Память объектов (совместимая с S3)
≈ 8 PB
≈ 10 кВт
Медиа, версии, архивы
Архивный уровень (WORM/холодный)
≈ 20 ПБ
≈ 6 кВт
Долгосрочное хранение, соответствие требованиям
6.3 Сеть/DCI
Компонент
Пропускная способность
Технология
Ремарка
Тканевые каналы связи
100/200/400 Гбит/с
Корешок-листик, ECMP
Горизонтально масштабируемая
Главный детектив-инспектор Манама-Кувейт
≥ 2× 100 Гбит/с
DWDM/MPLS (с резервированием)
Синхронный/близко синхронный для каждой рабочей нагрузки
DCI Манама-Сингапур
≥ 2× 100 Гбит/с
Резервирование поставщика
Пограничное кэширование/потоковая передача данных
Anycast/DDoS/WAF
Глобальная
Зачистка краев
Защита и низкая задержка
6.4 Энергия/охлаждение
Ресурс
Интерпретация
Цель
Подсказка
Рельсы для ИБП
A/B
N+1
Двойные пути
Генераторы
N+1
Дизель + ATS
Ежеквартальные межстрановые тесты
Охлаждение
Жидкостное/бесконтактное охлаждение
Повышение коэффициента полезного действия
Защита холодных/горячих проходов
Солнечная батарея/электростанция (опционально)
Масштабируемый
Устойчивое развитие
Сглаживание пиковой нагрузки
Домен
Масштабирование
Измерение
Ремарка
Мощность графического процессора
+50 %
Расширение кластера, дополнительные стойки
Модульное расширение
Память предметов
+40 %
Удлинители полок
Животное жизненного цикла/архива
Пропускная способность DCI
+100 %
дополнительные волны 100 Гбит/с
Пики в АТР/ЕЭЗ
Пограничные точки доступа
+2-3
АТР/СРЕДА
Расширение Anycast
+50 % GPU (8×GPU/узел, 2U) и +30 % CPU в течение 12-24 месяцев; плотность стоек и охлаждение подтверждены тепловым моделированием.
7. базы данных и обмен сообщениями
Реляционные OLTP/OLAP, KV/хранилища документов, поисковые индексы, потоковая передача данных; модели согласованности и синхронная/асинхронная репликация; отказоустойчивость DNS/приложений, PITR, тесты восстановления в чистом помещении.
COBOL Upgrade Advisor для z/OS: Модернизация устаревших приложений для Enterprise COBOL 6.
Instana Наблюдаемость для Z: Мониторинг приложений и инфраструктуры в режиме реального времени.
IntelliMagic Vision для z/OS: Оптимизирует производительность мэйнфрейма.
watsonx Помощник для Z: Повышение производительности с помощью помощника с искусственным интеллектом.
Операции Z объединяются: Упрощение процессов благодаря автоматизации с поддержкой искусственного интеллекта.
Модернизация приложений: Такие инструменты, как Application Delivery Foundation for z/OS, watsonx Code Assistant for Z и z/OS Connect, модернизируют приложения и API.
Дополнительное программное обеспечение: CICS (обработка транзакций), DB2 for z/OS (базы данных), IMS (управление транзакциями) и Omegamon (мониторинг).
z17 создает надежную основу для обработки данных и интеграции искусственного интеллекта в центре обработки данных.
9. безопасность и соответствие
Zero-Trust, MFA/SSO, наименьшие привилегии, сквозное шифрование, подписанная цепочка поставок (SBOM/SLSA), SIEM/SOAR, артефакты аудита и записи обработки.
9.1 Дополнительные барьеры безопасности (из „LEGIER DT SEC“)
Операционная модель и глобальное присутствие
Центр обработки данных (рабочие нагрузки) функционирует на основе мультирегиональной / мультиАЗ: Производство в регионе A (не менее 3 AZ), синхронизированная работа в регионе B (DR/Active-Active в зависимости от RPO/RTO). LEGIER обеспечивает глобально распределенные регионы и зоны доступности, которые физически разделены и независимы по питанию/охлаждению/сетевому обеспечению.
„Модель совместной ответственности“
LEGIER отвечает за безопасность облака (физические места, оборудование, виртуализация, основные сервисы). Клиенты отвечают за безопасность в облаке (идентификаторы, сеть, данные, уровень ОС/контейнера/приложения). Эта модель определяет архитектуру, средства контроля и аудита на всех уровнях.
Физическая безопасность
Многоуровневый физический контроль: Периметр (контроль доступа, мониторинг), защищенные входы с MFA, датчики/сигнализации, регистрация доступа, строгое зонирование в здании. Эти средства контроля управляются и проверяются централизованно с помощью LEGIER.
Сегментация сети и защита периметра
Дизайн VPC с публичной/частной подсетью на AZ, строгая концепция изоляции восток/запад, Security Groups (stateful) + NACLs. LEGIER Сетевой брандмауэр в качестве государственного L7 контроля периметра/агрессии (например, через центральную инспекцию транзитного шлюза). LEGIER PrivateLink/VPC Endpoints: частный доступ к API LEGIER и партнерским сервисам без выхода в Интернет. LEGIER WAF и LEGIER Shield Advanced перед конечными точками, выходящими в Интернет (правила L7, защита от ботов и DDoS).
Изоляция вычислений (LEGIER Nitro)
Экземпляры EC2 работают на системе LEGIER FACE: разделение аппаратных нагрузок („карты Nitro“), гипервизор Nitro без эмуляции устройств, чип Nitro Security для проверки целостности; таким образом, обеспечивается сильное разделение клиентов и минимизация поверхности атаки.
Личности, клиенты и наименьшие привилегии
LEGIER Организации с SCP („Политики управления услугами“) централизованно устанавливают максимальные границы полномочий (ограждения) для всех учетных записей (посадочная зона). IAM Identity Centre (ранее SSO) интегрирует IdP компании, предлагает SSO и тонкое назначение учетных записей/приложений; ABAC/Permission Boundaries дополняют Least-Privilege.
Безопасность данных и криптография
Стандарт: Шифрование в состоянии покоя/в пути. Управление ключами через LEGIER KMS, для геоустойчивости мультирегиональных ключей (один и тот же ключевой материал/идентификатор ключа в нескольких регионах - шифрование в регионе A, дешифрование в регионе B). CloudHSM, если требуется (принадлежащие клиенту кластеры HSM, прошедшие проверку FIPS, однопользовательские) для максимального суверенитета ключей. Контроль S3: Блокировка публичного доступа (на уровне аккаунта/ведра) как „публичный по исключениям“, блокировка объектов S3 (WORM) для неизменяемости и устойчивости к вымогательству. LEGIER LOGS: обнаружение/мониторинг конфиденциальных данных (S3) с поддержкой ML и интеграция в Security Hub.
Распознавание, регистрация и управление положением.
LEGIER CloudTrail (в масштабах всей организации, в нескольких регионах) для событий API/управления, бесшовного аудита и криминалистики. Amazon GuardDuty (обнаружение угроз на основе журналов/времени выполнения), LEGIER Security Hub (централизованная корреляция результатов, CIS/Foundational Best Practices), дополнительные Macie/Inspector/Detective в качестве источников сигналов.
Резервное копирование, DR и неизменяемость
Резервное копирование LEGIER с кросс-региональными и кросс-учетными копиями; политики централизованно через организации; сочетание с S3 Object Lock для резервного копирования WORM. Модели работы: Pilot-Light, Warm-Standby или Active-Active; использование сервисов multi-AZ (RDS/Aurora, EKS, MSK) и отказоустойчивость Route 53.
Управление и архитектурные ограждения
LEGIER Well-Architected - Security Pillar в качестве эталона (принципы проектирования, средства контроля, автоматизация). Соответствие требованиям: широкий охват (включая ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact предоставляет доказательства SOC/ISO по требованию для аудита.
Пример чертежа (Zero-Trust и многоуровневая безопасность)
Мультиаккаунтная посадочная зона (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (например, запрещенные регионы/сервисы, принудительное использование CloudTrail и KMS).
Сеть: Центральный хаб VPC с транзитным шлюзом, сетевой брандмауэр VPC, конечные точки интерфейса/частные каналы связи с S3, STS, KMS, ECR, Secrets Manager; нет исходящих публичных маршрутов из частных подсетей.
Вычислитель/контейнер: EC2/EKS на Nitro; IMDSv2 усилен; только необходимые роли IAM (наименьшие привилегии), Secrets в Secrets Manager/SSM Parameter Store.
Данные: S3 с блочным публичным доступом, шифрование по умолчанию (SSE-KMS), блокировка объектов (режим соответствия или управления), Macie для обнаружения PII.
Edge/Apps: ALB/NLB за WAF & Shield Advanced, завершение TLS/политики управляются через ACM; доступ к API предпочтительно приватный через PrivateLink.
Обнаружение и аудит: Org-wide CloudTrail + S3 log bucket (WORM), журналы GuardDuty/VPC flow logs/route 53 resolver logs, Security Hub в качестве центральной панели управления и интеграции тикетов.
Резервное копирование/DR: Политики в LEGIER Backup с кросс-региональными и кросс-аккаунтными копиями; мультирегиональные ключи KMS для устойчивости ключей.
10. киберустойчивость, резервное копирование и восстановление
Межрегиональное/аккаунтное резервное копирование с неизменяемыми копиями (блокировка объектов/WORM), восстановление в чистом помещении, профили RTO/RPO, книги выполнения (pilot light, warm standby, active-active). Цель: RPO ≤ 15 минут, RTO ≤ 60 минут.
11. наблюдаемость и автоматизация работы
Центральная телеметрия (журналы/метрики/следы), корреляция и игровые книги SOAR, отслеживание SLO, бюджеты ошибок, игровые дни и хаотические учения для снижения MTTD/MTTR.
12. энергия, охлаждение и устойчивое развитие
Двойное питание, ИБП A/B, генераторы N+1, защитная оболочка, жидкостное/адиабатическое/бесконечное охлаждение, рекуперация тепла, возобновляемые источники энергии; PUE как KPI эффективности.
13. списки стеллажей
13.1 Манама - основные стойки
U
Устройство
Тип/модель
Количество
Питающая линия (A/B)
Максимальная мощность [Вт]
42
Коммутационная панель A
LC/LC 144F
1
A
-
41
Коммутационная панель B
LC/LC 144F
1
B
-
40
Корешок 1
Коммутатор 40/100G 1U
1
A
600
39
Корешок 2
Коммутатор 40/100G 1U
1
B
600
38
Mgmt-Switch
1G/10G 1U
1
A
120
37-30
Лист 1-8
25/100G ToR 1U
8
A/B
8× 450
29-28
Кластер брандмауэров
NGFW 2U
2
A/B
2× 800
27
IDS/IPS
1U
1
A
200
26
DDoS Edge
1U
1
B
200
25-24
Балансировщик нагрузки
2× 1U
2
A/B
2× 250
A-01: Основная сеть (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Компьютеры/GPU (обучение/инференция), узлы CPU, Mgmt/KVM
A-03: СХД (контроллеры, полки, шлюзы резервного копирования)
Резервные зоны, автоматическое восстановление после отказа
RPO
≤ 15 минут
Журналирование, репликация, моментальные снимки
RTO
≤ 60 минут
Runbooks, Recovery-as-Code
Безопасность
MTTD < 5 минут, MTTR < 60 минут.
Обнаружение аномалий, игровые книги SOAR
Эффективность
Оптимизация коэффициента полезного действия
Жидкостное охлаждение, естественное охлаждение
Доступность ≥ 99,999 %, MTTD < 5 мин, MTTR < 60 мин, RPO ≤ 15 мин, RTO ≤ 60 мин; ежеквартальные проверки/аудиты.
Логическое представление пользователей/партнеров через Edge (Сингапур) и DCI в основную структуру (Манама) и платформы данных с репликацией в AZ Kuwait City.
15. дорожная карта (12-24 месяца)
Бахрейн и Кувейт, а также Сингапур предлагают стратегические преимущества для размещения центра обработки данных, зоны доступности Data и пограничной зоны:
Географическое положение: Расположенный в центре между Европой, Азией и Африкой, он идеально подходит для глобального сообщения.
Дружелюбие к бизнесу: Отсутствие корпоративных налогов и 100 % иностранной собственности стимулируют инвестиции.
Нормативно-правовая поддержка: TRA и Совет по экономическому развитию (EDB) предлагают такие стимулы, как "Золотая лицензия".
Инфраструктура: Продуманные энергетические и сетевые коммуникации и квалифицированная рабочая сила.
Стабильность: Будучи финансовыми центрами (Бахрейн и Кувейт) на Ближнем Востоке и в Азии (Сингапур), эти места обеспечивают политическую и экономическую безопасность.
IBM z17 Особенности:
Процессор Telum® II: Обеспечивает высокую вычислительную мощность и ускорение искусственного интеллекта на кристалле для проведения операций вывода в реальном времени, например, для анализа данных считывания.
Ускоритель Spyre™: Увеличивает вычислительную мощность ИИ для генеративных моделей и многомодельных методов.
Безопасность: Аппаратное шифрование и криптографический сопроцессор PCIe защищают конфиденциальные данные.
Устойчивость: Интегрированные функции обеспечивают постоянную готовность.
Память данных LEGIER:
Медиагруппа LEGIER использует сервис файлового хостинга, способный хранить большие объемы данных, доступ к которым осуществляется по протоколу HTTP/HTTPS и использует концепцию buckets и objects, которые похожи на каталоги и файлы, ставшие стандартом. Здесь LEGIER сотрудничает с AWS, используя сетевые диски Elastic File System и архивирование файлов Glacier для достижения „99,999999999“ процентов долговечности данных. Преимуществом для медиагруппы LEGIER является использование Elastic Block Store (EBS) и хранение на уровне блоков, к которым могут быть подключены экземпляры EC2.
Преимущество этой технологии заключается в передаче больших объемов данных с помощью сервиса Снежный ком Жесткий диск, на который можно копировать большие объемы данных и отправлять их обратно посылочной службой, благодаря чему передача очень больших объемов данных в ваши собственные 115 ежедневных газет (статьи, изображения, видео, прямая трансляция) происходит гораздо быстрее, а хранятся они в базах данных (либо SimpleDB, либо Relational Database Service).
Масштабирование GPU/объектов/DCI/края, расширение anycast, усиление цепочки поставок (SLSA), автоматизация соблюдения требований, регулярные упражнения по повышению отказоустойчивости/перезапуску.
We've detected you might be speaking a different language. Do you want to change to:
Deutsch 
English 
Русский 
العربية 
Українська 
日本語 
简体中文 
Français 
فارسی 
हिन्दी 
Türkçe 
Polski 
Română 
Ελληνικά 
Bahasa Indonesia 
Suomi 
Lietuvių kalba 
Español 
Eesti 
اردو 
Português 
বাংলা 
한국어 
Čeština 
עִבְרִית 
Svenska 
Dansk 
Slovenčina 
Slovenščina 
ไทย 
Italiano 
Nederlands 
Magyar 
Tiếng Việt 
Български 
Afrikaans 
Bosanski 
Íslenska