LEGIER RECHTSZENTRUM: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)

Innehållsförteckning

Oftare är det Sky Look1. Sammanfattning

Den LEGIER GRUPPEN driver ett ekosystem med datacenter i flera nivåer med Manama (Core), Kuwait City (AZ) och Singapore (Edge). Det erbjuder separata men ändå integrerade nivåer för nätverk, beräkning, lagring, data, AI och säkerhet.

Målsättningar: Hög tillgänglighet, nolltrustsäkerhet, låg latens och påvisbar efterlevnad.

Med tillstånd från Tillsynsmyndigheten för telekommunikation (TRA) I Bahrain använder LEGIERs datacenter toppmodern teknik, till exempel egna AI-komponenter, Darktrace-säkerhetslösningar och IBM stordator-teknik för att säkerställa en tillförlitlig, skalbar och säker plattform. Bahrain och Kuwait erbjuder specifika platsfördelar som optimerar verksamheten.

Vägledande principer:

Integritet i första hand (KMS/HSM)
Motståndskraft mot flera zoner/regioner
Säkerhetskopiering mellan konton
GitOps/IaC med signerade artefakter
SRE-drift med SLO och automatisering (SOAR)

Datacentret i Manama är utformat för att uppfylla de krävande kraven från ett globalt medieföretag:

Hög tillgänglighet: En drifttid på 99,999 % uppnås genom redundanta system som dubbla strömkällor, reservgeneratorer och speglad hårdvara för att säkerställa kontinuerlig meddelandeproduktion.
Skalbarhet: Infrastrukturen kan flexibelt byggas ut för att klara ökande datavolymer och databehandlingsbehov - en förutsättning för produktion på nio språk över hela världen.
Databehandling och lagring: Miljontals datapunkter för text, bild och video bearbetas och lagras i realtid. Snabba SSD-enheter och ett robust SAN (Storage Area Network) säkerställer effektiviteten.
Stöd för AI: Kraftfulla GPU:er och TPU:er stöder komplexa AI-arbetsbelastningar som innehållsanalys och översättning.
Cybersäkerhet: Känsliga data kräver avancerat skydd, vilket tillhandahålls av Darktrace-teknologier.

Användningsområden för AI

Innehållsanalys:
- Teknik: Deep learning och NLP (Natural Language Processing) med modeller som BERT analyserar texter, kategoriserar innehåll och extraherar relevant information.
- Fördel: Snabbar upp hanteringen av meddelanden och förbättrar precisionen, t.ex. vid identifiering av trender eller viktiga ämnen.
System för rekommendationer:
- Teknik: Maskininlärning med kollaborativ filtrering och neurala nätverk personaliserar innehållet för läsarna.
- Fördel: Ökar användarlojaliteten genom anpassade läsrekommendationer, t.ex. för regionalt eller språkspecifikt innehåll.
Automatiserad rapportering:
- Teknik: Generativa AI-modeller som GPT skapar rutinmässiga rapporter, t.ex. väder- eller sportresultat.
- Fördel: Avlastar redaktörer som kan koncentrera sig på undersökande journalistik eller komplexa analyser.
Översättningar i realtid:
- Teknik: AI-verktyg som DeepL eller våra egna modeller översätter innehåll till nio språk i realtid.
- Fördel: Möjliggör omedelbar publicering av globala nyheter, vilket är en viktig fördel för 115-tidningarna.
Bild- och videoigenkänning:
- Teknik: CNN (Convolutional Neural Networks) taggar och utvärderar visuellt innehåll automatiskt.
- Fördel: Snabbare publicering av multimediainnehåll genom automatiserad skapande av metadata.

2. platser & topologi

2.1 Manama (Bahrain) - Kärnområde

Centraliserad kontroll/orkestrering, GPU/CPU-kluster, objektnivåer, SIEM/SOAR/KMS/PKI, DNS/katalog, artefaktförvar (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-separation.

2.2 Zon för datatillgänglighet (AZ) Kuwait City

Geografisk motståndskraft/frånkoppling; replikeringsprofiler per dataklass (synkron/nära-synkron/asynkron); isolerade feldomäner, dedikerade utgångspunkter, IAM-scoping, DR-kapacitet (Pilot-Light-Active-Active).

2.3 Edge-läge Singapore (KDDI Asia Pacific)

Carrier-neutral edge PoP (CDN/caching, WAF/DDoS, streaming). Masterdata via säker replikering; mål: minimal APAC-latens utan offentlig rutt i känsliga subnät.

3. nätverks- och sammankopplingsarkitektur

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore via DWDM/MPLS, QoS för replikering/backup, latency/jitter-övervakning med dynamiskt vägval.

Perimeter: NGFW, L7-inspektion, DNS-filter, vitlistning av utgångar. Öst/väst-isolering: VRF/VXLAN, SG/NACL, mTLS, JIT-åtkomst.

4. Beräknings-, virtualiserings- och containerlager

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-orkestrering, GPU-noder (mixed-precision), IMDSv2, signerade bilder (Cosign), SBOM-kontroll, admission controller, seccomp/AppArmor. Hemligheter med KMS backend.

Klienter: Namnområden/projekt, ABAC/RBAC, behörighetsgränser, nätverkspolicyer med default-deny, mTLS för servicenät, antiaffinitet.

5. lagrings- och dataplattformar

NVMe flash för låg latens, SAN/NAS för VM/DB-lager, S3 objektlager med versionshantering, livscykel, WORM och replikering Manama↔Kuwait; edge caches i Singapore för media.

Standarder: Blockera allmän åtkomst, neka som standard, kryptering på klient/server-sidan (KMS/HSM), logga med skrivning en gång, dela med allmänheten genom undantag.

6. Kapacitetsplanering

6.1 Beräkna

Resurs	Kvantitet	Servicebudget per enhet	Totalt	Anmärkning
IBM z17 (stordatorram)	1 ram	n/a	n/a	Transaktion/AI-inferens nära kärnsystem
GPU-server (2U, 8× GPU)	24 noder	2 kW	≈ 48 kW	Utbildning/inferens, bild/video/NLP
CPU-beräkning (1U)	80 noder	0,4 kW	≈ 32 kW	Webb/Microservices/K8s Arbetare
TPU/AI apparater	8 Vitvaror	1,2 kW	≈ 9,6 kW	Specialiserade AI-arbetsbelastningar

6.2 Minne

Djur	Kapacitet	Prestanda	Användning
NVMe primär (Tier 0/1)	≈ 600 TB	≈ 12 kW	I/O-intensiv (journaler/hot data)
SAN/NAS (Block/Fil)	≈ 2,5 PB	≈ 18 kW	DB/VM-lager/redaktionella aktier
Objektminne (S3-kompatibelt)	≈ 8 PB	≈ 10 kW	Media, versioner, arkiv
Arkivnivå (WORM/Kallt)	≈ 20 PB	≈ 6 kW	Långtidslagring, efterlevnad

6.3 Nätverk/DCI

Komponent	Genomströmning	Teknik	Anmärkning
Uplänkar för tyg	100/200/400 Gbit/s	Spine-Leaf, ECMP	Horisontellt skalbar
DCI Manama-Kuwait	≥ 2× 100 Gbit/s	DWDM/MPLS (redundant)	Synkron/nära-synkron per arbetsbelastning
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Redundans hos leverantören	Edge caching/streaming
Anycast/DDoS/WAF	Globalt	Skrubba kanter	Skydd & låg latenstid

6.4 Energi/kylning

Resurs	Tolkning	Mål	Ledtråd
UPS-skenor	A/B	N+1	Dubbla vägar
Generatorer	N+1	Diesel + ATS	Länderöverskridande tester kvartalsvis
Kylning	Vätskekylning/fri kylning	Förbättring av PUE	Inneslutning av kalla/varma gångar
Sol/CHP (tillval)	Skalbar	Hållbarhet	Utjämning av toppbelastning

Domän	Skalning	Mått	Anmärkning
GPU-kapacitet	+50 %	Klusterexpansion, ytterligare rack	Modulär expansion
Objektminne	+40 %	Förlängning av hyllor	Livscykel/Arkiv djur
DCI-genomströmning	+100 %	ytterligare 100G-vågor	APAC/EMEA toppar
Edge PoP:er	+2-3	APAC/EMEA	Anycast-tillägg

+50 % GPU (8×GPU/Nod, 2U) och +30 % CPU inom 12-24 månader; rackdensitet och kylning validerade genom termisk simulering.

7. Databaser och meddelandehantering

Relationell OLTP/OLAP, KV/dokumentlager, sökindex, streaming; konsistensmodeller och synk/asynk-replikering; DNS/app failover, PITR, återställningstester i renrummet.

8 AI-plattformar och arbetsbelastningar inom media

Feature store, modellregister, reproducerbara utbildningsrörledningar, förklarbarhet/övervakning (drift/bias), styrning.
Media: omkodning, DRM, personalisering, edge caching.

Programvara:

COBOL Upgrade Advisor för z/OS: Moderniserar äldre applikationer för Enterprise COBOL 6.
Instana Observability för Z: Övervakar applikationer och infrastruktur i realtid.
IntelliMagic Vision för z/OS: Optimerar stordatorns prestanda.
watsonx Assistent för Z: Ökar produktiviteten med en AI-assistent.
Z Operations förenas: Förenklar processer med AI-stödd automatisering.
Modernisering av applikationer: Verktyg som Application Delivery Foundation för z/OS, watsonx Code Assistant för Z och z/OS Connect moderniserar applikationer och API:er.
Ytterligare programvara: CICS (transaktionsbehandling), DB2 för z/OS (databas), IMS (transaktionshantering) och Omegamon (övervakning).

z17 utgör en robust bas för databehandling och AI-integration i datacentret.

9. Säkerhet och efterlevnad

Zero trust, MFA/SSO, least privilege, end-to-end-kryptering, signerad leveranskedja (SBOM/SLSA), SIEM/SOAR, granskning av artefakter och dokumentation av behandling.

9.1 Kompletterande skyddsräcken (från "LEGIER DT SEC")

Verksamhetsmodell & globalt fotavtryck
Datacentret (arbetsbelastningar) drivs på en multiregion / multi-AZ-basis: Produktion i region A (minst 3 AZ), synkroniserad drift i region B (DR/Active-Active beroende på RPO/RTO). LEGIER tillhandahåller globalt distribuerade regioner och tillgänglighetszoner som är fysiskt åtskilda och oberoende med kraft/kylning/nätverk.
"Modellen för delat ansvar"
LEGIER ansvarar för säkerheten i molnet (fysiska platser, hårdvara, virtualisering, kärntjänster). Kunderna ansvarar för säkerheten i molnet (identiteter, nätverk, data, OS/container/app-lager). Denna modell fastställer arkitektur, kontroller och revisioner i alla lager.
Fysisk säkerhet
Fysiska kontroller i flera lager: Perimeter (åtkomstkontroll, övervakning), säkrade ingångar med MFA, sensorer/larm, loggning av åtkomst, strikt zonindelning i byggnaden. Dessa kontroller sköts och kontrolleras centralt av LEGIER.
Nätverkssegmentering och perimeterskydd
VPC-design med offentlig/privat subnetting per AZ, strikt öst/väst-isoleringskoncept, säkerhetsgrupper (stateful) + NACLs. LEGIER Network Firewall som stateful L7 perimeter/egress-kontroll (t.ex. via transit gateway central inspektion). LEGIER PrivateLink/VPC Endpoints: Privat åtkomst till LEGIER API:er och partnertjänster utan exponering på Internet. LEGIER WAF & LEGIER Shield Advanced mot internetvända slutpunkter (L7-regler, bot/DDoS-skydd).
Beräkna isolering (LEGIER Nitro)
EC2-instanser körs på LEGIER FACE-systemet: separation av hårdvaruavlastningar ("nitro-kort"), lean nitro hypervisor utan enhetsemulering, nitro säkerhetschip för integritetskontroller; därmed stark klientseparation och minimerad attackyta.
Identiteter, klienter och minsta möjliga privilegium
LEGIER Organisationer med SCP:er ("Service Control Policies") tillämpar centralt maximala behörighetsgränser (guardrails) för alla konton (landing zone). IAM Identity Centre (tidigare SSO) integrerar företagets IdP, erbjuder SSO och finkornig tilldelning till konton/appar; ABAC/Permission Boundaries kompletterar Least-Privilege.
Datasäkerhet & kryptografi
Standard: Kryptering i vänteläge/in-transitering. Nyckelhantering via LEGIER KMS, för geotåliga multiregionnycklar (samma nyckelmaterial/nyckel-ID i flera regioner - kryptering i region A, dekryptering i region B). CloudHSM om så krävs (kundägda, FIPS-validerade HSM-kluster, single-tenant) för maximal nyckelsuveränitet. S3-kontroller: Blockera allmän åtkomst (konto/bucket-nivå) som "allmän genom undantag", S3-objektlås (WORM) för oföränderlighet och motståndskraft mot ransomware. LEGIER LOGS: ML-stödd detektering/övervakning av känsliga data (S3) och integrering i Security Hub.
Igenkänning, loggning och posture management
LEGIER CloudTrail (organisationsövergripande, flera regioner) för API- och hanteringshändelser, sömlös revision och kriminalteknik. Amazon GuardDuty (logg-/runtime-baserad hotdetektering), LEGIER Security Hub (centraliserad korrelation av fynd, CIS/Foundational Best Practices), valfri Macie/Inspector/Detective som signalkällor.
Backup, DR och oföränderlighet
LEGIER backup med cross-region och cross-account kopior; policies centralt via organisationer; kombination med S3 Object Lock för backup WORM. Driftmodeller: Pilot-Light, Warm-Standby eller Active-Active; användning av multi-AZ-tjänster (RDS/Aurora, EKS, MSK) och Route 53 failover.
Styrning & arkitektoniska skyddsräcken
LEGIER Well-Architected - Security Pillar som referens (designprinciper, kontroller, automatisering). Efterlevnad: bred täckning (inklusive ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact tillhandahåller SOC/ISO-bevisning på begäran för revisioner.

Exempel på blueprint (nollförtroende och säkerhet på flera nivåer)

Landningszon för flera konton (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (t.ex. förbjudna regioner/tjänster, påtvingad CloudTrail- och KMS-användning).
Nätverk: Central hub VPC med transit gateway, nätverksbrandvägg inspektion VPC, gränssnittsändpunkter/PrivateLink till S3, STS, KMS, ECR, Secrets Manager; inga utgående publika rutter från privata undernät.
Beräkning/behållare: EC2/EKS på Nitro; IMDSv2 tillämpas; endast nödvändiga IAM-roller (lägsta privilegium), hemligheter i Secrets Manager/SSM Parameter Store.
Data: S3 med blockerad offentlig åtkomst, standardkryptering (SSE-KMS), objektlås (efterlevnads- eller styrningsläge), Macie för PII-detektering.
Edge/Apps: ALB/NLB bakom WAF & Shield Advanced, TLS-avslutningar/policyer hanteras via ACM; API-åtkomst företrädesvis privat via PrivateLink.
Detektering & granskning: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flödesloggar/route 53 resolver loggar, security hub som central instrumentpanel & ticket integration.
Säkerhetskopior/DR: Policys i LEGIER Backup med kopior över flera regioner och konton; KMS-nycklar för flera regioner för nyckelfasthet.

10. Cyberresiliens, säkerhetskopiering och återställning

Säkerhetskopiering mellan regioner/konton med oföränderliga kopior (objektlås/WORM), återställningsövningar i renrummet, RTO/RPO-profiler, runbooks (pilot light, varm standby, aktiv-aktiv). Mål: RPO ≤ 15 minuter, RTO ≤ 60 minuter.

11. Observerbarhet och operationell automatisering

Central telemetri (loggar/mätvärden/spår), korrelation & SOAR playbooks, SLO tracking, felbudgetar, speldagar och kaosövningar för att minska MTTD/MTTR.

12. energi, kyla och hållbarhet

Dubbla matningar, A/B UPS, N+1 generatorer, inneslutning, flytande/adiabatisk/fri kylning, värmeåtervinning, förnybara alternativ; PUE som nyckeltal för effektivitet.

13. Racklistor

13.1 Manama - kärnkraftverk

U	Enhet	Typ/Modell	Kvantitet	Matningsledning (A/B)	Max effekt [W]
42	Patchpanel A	LC/LC 144F	1	A	-
41	Patchpanel B	LC/LC 144F	1	B	-
40	Rygg 1	40/100G-switch 1U	1	A	600
39	Rygg 2	40/100G-switch 1U	1	B	600
38	Mgmt-switch	1G/10G 1U	1	A	120
37-30	Blad 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Brandväggskluster	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25-24	Lastbalanserare	2× 1U	2	A/B	2× 250

A-01: Kärnnät (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Beräkning/GPU (träning/inferens), CPU-noder, Mgmt/KVM
A-03: Lagring (styrenheter, hyllor, backup-gateways)

13,2 Kuwait City - AZ-ställ

U	Enhet	Typ/Modell	Kvantitet	Matningsledning (A/B)	Max effekt [W]
42-41	Patchpanel A/B	-	2	A/B	-
40-25	CPU-server	1U	12	A/B	12× 400
24-17	GPU-server (DR)	2U	4	A/B	4× 2000
16-15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: AZ-nätverk/blad, brandväggar, LB
K-02: Dator/DR
K-03: Objekt/backup (WORM/Immutable)

13.3 Singapore - Kantställ

U	Enhet	Typ/Modell	Kvantitet	Matningsledning (A/B)	Max effekt [W]
42	Patchpanel	-	1	A/B	-
41-40	Edge-router	1U	2	A/B	2× 250
39-38	Kantbrytare	1U	2	A/B	2× 200
37-34	Cache/Proxy-noder	1U	4	A/B	4× 350
33-32	WAF/DDoS apparat	1U	2	A/B	2× 300
31-28	Stream Gateway	1U	4	A/B	4× 300

S-01: Edge-routrar/-switchar, cache/proxy, WAF/DDoS, stream gateways

14 SLA-målvärden & KPI:er

Domän	Målvärde	Anmärkning
Tillgänglighet	≥ 99,999 %	Redundanta zoner, automatisk failover
RPO	≤ 15 minuter	Journalisering, replikering, ögonblicksbilder
RTO	≤ 60 minuter	Runbooks, återställning som kod
Säkerhet	MTTD < 5 minuter, MTTR < 60 minuter.	Detektering av anomalier, SOAR playbooks
Effektivitet	Optimering av PUE	Vätskekylning, frikylning

Tillgänglighet ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; kvartalsvisa genomgångar/revisioner.

Logisk vy över användare/partners via Edge (Singapore) och DCI till kärnstrukturen (Manama) och dataplattformar, med replikering till AZ Kuwait City.

15. Färdplan (12-24 månader)

Bahrain, Kuwait och Singapore erbjuder strategiska fördelar för datacenter, datatillgänglighetszon och edge-placering:

Geografiskt läge: Centralt beläget mellan Europa, Asien och Afrika, idealiskt för globala förbindelser.
Affärsvänlighet: Ingen bolagsskatt och 100 % utländskt ägande uppmuntrar till investeringar.
Stöd för reglering: TRA och Economic Development Board (EDB) erbjuder incitament som Golden Licence.
Infrastruktur: Sofistikerade kraft- och nätverksanslutningar och en kvalificerad arbetskraftsbas.
Stabilitet: Som finansiella centra (Bahrain och Kuwait) i Mellanöstern och Asien (Singapore) erbjuder dessa platser politisk och ekonomisk säkerhet.

IBM z17 Funktioner:

Telum® II-processor: Erbjuder hög datorkraft och AI-acceleration på chippet för inferensoperationer i realtid, t.ex. för analys av läsardata.
Spyre™ Accelerator: Ökar AI:s datorkraft för generativa modeller och metoder med flera modeller.
Säkerhet: Hårdvarubaserad kryptering och PCIe Cryptographic Coprocessor skyddar känsliga data.
Motståndskraft: Integrerade funktioner säkerställer kontinuerlig tillgänglighet.

LEGIER dataminne:

Mediekoncernen LEGIER använder en filhostingtjänst som kan lagra stora mängder data, med åtkomst via HTTP/HTTPS och som använder konceptet buckets och objects, som liknar kataloger och filer som har blivit etablerade som standard. LEGIER arbetar tillsammans med AWS och använder Elastic File System nätverksenheter och Glacier filarkivering för att uppnå en "99,999999999" procent hållbarhet av data. Fördelen för LEGIER Media Group är användningen av Elastic Block Store (EBS) och lagring på blocknivå som EC2-instanser kan kopplas till.

Fördelen med denna teknik är att stora mängder data kan överföras med tjänsten Snöboll Hårddisklagring på vilken stora datamängder kan kopieras och skickas tillbaka med pakettjänst, varigenom överföringen av mycket stora datamängder till din egen 115 dagstidning (artiklar, bilder, videor, live stream) går mycket snabbare och lagras i databaser (antingen SimpleDB eller Relational Database Service).

Skalning av GPU/objekt/DCI/edge, utökning av anycast, härdning av leveranskedjan (SLSA), automatisering av efterlevnad, regelbundna övningar i motståndskraft/återstart.