LEGIER CENTRE: Manama (Bahrain) - Data Availability Zone Kuwait City - Edge location Singapore (KDDI Asia Pacific)

Innehållsförteckning

Oftare är det Sky Look1. Sammanfattning

Den LEGIER GROUP driver ett ekosystem med flera nivåer av Datacentre med Manama (Core), Kuwait City (AZ) och Singapore (Edge). Det erbjuder separata men ändå integrerade nivåer för nätverk, beräkning, lagring, data, AI och säkerhet. Målsättningar: Hög tillgänglighet, noll-Trust-säkerhet, låg latens och påvisbar efterlevnad. Under godkännande av Tillsynsmyndigheten för telekommunikation (TRA) i Bahrain använder datacentret LEGIER toppmodern teknik, till exempel egna AI-komponenter, Darktrace-säkerhetslösningar och IBM stordator-teknik för att säkerställa en tillförlitlig, skalbar och säker plattform. Bahrain och Kuwait erbjuder specifika platsfördelar som optimerar verksamheten. Vägledande principer:

• Integritet i första hand (KMS/HSM)
• Motståndskraft mot flera zoner/regioner
• Säkerhetskopiering mellan konton
• GitOps/IaC med signerade artefakter
• SRE-drift med SLO:er och automatisering (SOAR)

Datacentret i Manama är utformat för att uppfylla de krävande kraven från ett globalt medieföretag:

1. Hög tillgänglighet: En drifttid på 99,999 % uppnås genom redundanta system som dubbla strömkällor, reservgeneratorer och speglad hårdvara för att säkerställa kontinuerlig meddelandeproduktion.
2. Skalbarhet: Infrastrukturen kan flexibelt byggas ut för att klara ökande datavolymer och databehandlingsbehov - en förutsättning för produktion på nio språk över hela världen.
3. Databehandling och lagring: Miljontals datapunkter för text, bild och video bearbetas och lagras i realtid. Snabba SSD-enheter och ett robust SAN (Storage Area Network) säkerställer effektiviteten.
4. Stöd för AI: Kraftfulla GPU:er och TPU:er stöder komplexa AI-arbetsbelastningar som innehållsanalys och översättning.
5. Cybersäkerhet: Känsliga data kräver avancerat skydd, vilket tillhandahålls av Darktrace-teknologier.

Användningsområden för AI

1. Innehållsanalys:
2. • Teknik: Deep learning och NLP (Natural Language Processing) med modeller som BERT analyserar texter, kategoriserar innehåll och extraherar relevant information.
   • Fördel: Snabbar upp hanteringen av meddelanden och förbättrar precisionen, t.ex. vid identifiering av trender eller viktiga ämnen.
3. System för rekommendationer:
   • Teknik: Maskininlärning med kollaborativ filtrering och neurala nätverk personaliserar innehållet för läsarna.
   • Fördel: Ökar användarlojaliteten genom anpassade läsrekommendationer, t.ex. för regionalt eller språkspecifikt innehåll.
4. Automatiserad rapportering:
   • Teknik: Generativa AI-modeller som GPT skapar rutinmässiga rapporter, t.ex. väder- eller sportresultat.
   • Fördel: Avlastar redaktörer som kan koncentrera sig på undersökande journalistik eller komplexa analyser.
5. Översättningar i realtid:
   • Teknik: AI-verktyg som DeepL eller våra egna modeller översätter innehåll till nio språk i realtid.
   • Fördel: Möjliggör omedelbar publicering av globala nyheter, vilket är en viktig fördel för 115-tidningarna.
6. Bild- och videoigenkänning:
   • Teknik: CNN (Convolutional Neural Networks) taggar och utvärderar visuellt innehåll automatiskt.
   • Fördel: Snabbare publicering av multimediainnehåll genom automatiserad skapande av metadata.

2. platser & topologi

2.1 Manama (Bahrain) - Kärnområde

Centraliserad kontroll/orkestrering, GPU/CPU-kluster, objektnivåer, SIEM/SOAR/KMS/PKI, DNS/katalog, artefaktförvar (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-separation.

2.2 Data Tillgänglighetszon (AZ) Kuwait City

Geografisk motståndskraft/frånkoppling; replikeringsprofiler per dataklass (synkron/nära-synkron/asynkron); isolerade feldomäner, dedikerade utgångspunkter, IAM-scoping, DR-kapacitet (Pilot-Light-Active-Active).

2.3 Edge-läge Singapore (KDDI Asia Pacific)

Carrier-neutral edge PoP (CDN/caching, WAF/DDoS, streaming). Masterdata via säker replikering; mål: minimal APAC-latens utan offentlig rutt i känsliga subnät.

3. nätverks- och sammankopplingsarkitektur

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore via DWDM/MPLS, QoS för replikering/backup, latency/jitter-övervakning med dynamiskt vägval. Perimeter: NGFW, L7-inspektion, DNS-filtrering, vitlistning av egress. Isolering öst/väst: VRF/VXLAN, SG/NACL, mTLS, JIT-åtkomst.

4. Beräknings-, virtualiserings- och containerlager

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-orkestrering, GPU-noder (mixed-precision), IMDSv2, signerade bilder (Cosign), SBOM-kontroll, admission controller, seccomp/AppArmor. Secrets med KMS-backend. Klienter: Namnområden/projekt, ABAC/RBAC, behörighetsgränser, nätverkspolicyer med default-deny, Service Mesh mTLS, Anti-Affinity.

5. lagrings- och dataplattformar

NVMe flash för låg latens, SAN/NAS för VM/DB-lager, S3 objektlager med versionshantering, livscykel, WORM och replikering Manama↔Kuwait; edge caches i Singapore för media. Standarder: Blockera allmän åtkomst, standardavvisning, kryptering på klient-/serversidan (KMS/HSM), engångsloggning, delning för allmänheten genom undantag.

6. Kapacitetsplanering

6.1 Beräkna

Resurs	Kvantitet	Servicebudget per enhet	Totalt	Anmärkning
IBM z17 (stordatorram)	1 ram	n/a	n/a	Transaktion/AI-inferens nära kärnsystem
GPU-server (2U, 8× GPU)	24 noder	2 kW	≈ 48 kW	Utbildning/inferens, bild/video/NLP
CPU-beräkning (1U)	80 noder	0,4 kW	≈ 32 kW	Webb/Microservices/K8s Arbetare
TPU/AI apparater	8 Vitvaror	1,2 kW	≈ 9,6 kW	Specialiserade AI-arbetsbelastningar

6.2 Minne

Djur	Kapacitet	Prestanda	Användning
NVMe primär (Tier 0/1)	≈ 600 TB	≈ 12 kW	I/O-intensiv (Journaler/Hot Data)
SAN/NAS (Block/Fil)	≈ 2,5 PB	≈ 18 kW	DB/VM-lager/redaktionella aktier
Objektminne (S3-kompatibelt)	≈ 8 PB	≈ 10 kW	Media, versioner, arkiv
Arkivnivå (WORM/Kallt)	≈ 20 PB	≈ 6 kW	Långtidslagring, efterlevnad

6.3 Nätverk/DCI

Komponent	Genomströmning	Teknik	Anmärkning
Uplänkar för tyg	100/200/400 Gbit/s	Spine-Leaf, ECMP	Horisontellt skalbar
DCI Manama-Kuwait	≥ 2× 100 Gbit/s	DWDM/MPLS (redundant)	Synkron/nära-synkron per arbetsbelastning
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Redundans hos leverantören	Edge caching/streaming
Anycast/DDoS/WAF	Globalt	Skrubba kanter	Skydd & låg latenstid

6.4 Energi/kyla

Resurs	Tolkning	Mål	Ledtråd
UPS-skenor	A/B	N+1	Dubbla vägar
Generatorer	N+1	Diesel + ATS	Länderöverskridande tester kvartalsvis
Kylning	Vätskekylning/fri kylning	Förbättring av PUE	Inneslutning av kalla/varma gångar
Sol/CHP (tillval)	Skalbar	Hållbarhet	Utjämning av toppbelastning

Domän	Skalning	Mått	Anmärkning
GPU-kapacitet	+50 %	Klusterexpansion, ytterligare rack	Modulär expansion
Objektminne	+40 %	Förlängning av hyllor	Livscykel/Arkiv djur
DCI-genomströmning	+100 %	ytterligare 100G-vågor	APAC/EMEA toppar
Edge PoP:er	+2-3	APAC/EMEA	Anycast-tillägg

+50 % GPU (8×GPU/Nod, 2U) och +30 % CPU inom 12-24 månader; rackdensitet och kylning validerade genom termisk simulering.

7. Databaser och meddelandehantering

Relationell OLTP/OLAP, KV/dokumentlager, sökindex, streaming; konsistensmodeller och synk/asynk-replikering; DNS/app failover, PITR, återställningstester i renrummet.

8 AI-plattformar och arbetsbelastningar inom media

• Feature store, modellregister, reproducerbara utbildningsrörledningar, förklarbarhet/övervakning (drift/bias), styrning.
• Media: omkodning, DRM, personalisering, edge caching.

Programvara:  

• COBOL Upgrade Advisor för z/OS: Moderniserar äldre applikationer för Enterprise COBOL 6.
• Instana Observability för Z: Övervakar applikationer och infrastruktur i realtid.
• IntelliMagic Vision för z/OS: Optimerar stordatorns prestanda.
• watsonx Assistent för Z: Ökar produktiviteten med en AI-assistent.
• Z Operations förenas: Förenklar processer med AI-stödd automatisering.
• Modernisering av applikationer: Verktyg som Application Delivery Foundation för z/OS, watsonx Code Assistant för Z och z/OS Connect moderniserar applikationer och API:er.
• Ytterligare programvara: CICS (transaktionsbehandling), DB2 för z/OS (databas), IMS (transaktionshantering) och Omegamon (övervakning).

z17 utgör en robust bas för databehandling och AI-integration i datacentret.

9. Säkerhet och efterlevnad

Zero-Trust, MFA/SSO, least-privilege, end-to-end-kryptering, signerad leveranskedja (SBOM/SLSA), SIEM/SOAR, revisionsartefakter och dokumentation av behandling.

9.1 Kompletterande säkerhetsbarriärer (från „LEGIER DT SEC“)

1. Verksamhetsmodell & globalt fotavtryck Datacentret (arbetsbelastningar) drivs på en multiregion / multi-AZ-basis: Produktion i region A (minst 3 AZ), synkroniserad drift i region B (DR/Active-Active beroende på RPO/RTO). LEGIER tillhandahåller globalt distribuerade regioner och tillgänglighetszoner som är fysiskt åtskilda och oberoende med kraft/kylning/nätverk.
2. „Modellen för delat ansvar“ LEGIER ansvarar för säkerheten i molnet (fysiska platser, hårdvara, virtualisering, kärntjänster). Kunderna ansvarar för säkerheten i molnet (identiteter, nätverk, data, OS/container/appskikt). Denna modell bestämmer arkitektur, kontroller och revisioner över alla lager.
3. Fysisk säkerhet Fysiska kontroller i flera lager: Perimeter (åtkomstkontroll, övervakning), säkrade ingångar med MFA, sensorer/larm, loggning av åtkomst, strikt zonindelning i byggnaden. Dessa kontroller drivs och kontrolleras centralt av LEGIER.
4. Nätverkssegmentering och perimeterskydd VPC-design med offentlig/privat subnetting per AZ, strikt öst/väst-isoleringskoncept, Security Groups (stateful) + NACLs. LEGIER Nätverksbrandvägg som statlig L7-perimeter-/egresskontroll (t.ex. via central inspektion av transitgateway). LEGIER PrivateLink/VPC Endpoints: Privat åtkomst till LEGIER API:er och partnertjänster utan exponering på Internet. LEGIER WAF & LEGIER Shield Advanced framför internetvända slutpunkter (L7-regler, bot/DDoS-skydd).
5. Isolering av beräkningar (LEGIER Nitro) EC2-instanser körs på LEGIER FACE-systemet: separation av hårdvaruavlastningar („Nitro-kort“), mager Nitro-hypervisor utan enhetsemulering, Nitro Security-chip för integritetskontroller; därmed stark klientseparation och minimerad attackyta.
6. Identiteter, klienter och minsta möjliga privilegium LEGIER Organisationer med SCP:er („Service Control Policies“) tillämpar centralt maximala behörighetsgränser (guardrails) för alla konton (landningszon). IAM Identity Centre (tidigare SSO) integrerar företagets IdP, erbjuder SSO och finkornig tilldelning till konton/appar; ABAC/Permission Boundaries kompletterar Least-Privilege.
7. Datasäkerhet & kryptografi Standard: Kryptering i vänteläge/in-transitering. Nyckelhantering via LEGIER KMS, för geotåliga multiregionnycklar (samma nyckelmaterial/nyckel-ID i flera regioner - kryptering i region A, dekryptering i region B). CloudHSM om så krävs (kundägda, FIPS-validerade HSM-kluster, single-tenant) för maximal nyckelsuveränitet. S3-kontroller: Blockera offentlig åtkomst (konto/bucket-nivå) som „offentlig genom undantag“, S3 Object Lock (WORM) för oföränderlighet och motståndskraft mot ransomware. LEGIER LOGS: ML-stödd detektering/övervakning av känsliga data (S3) och integrering i Security Hub.
8. Igenkänning, loggning och posture management LEGIER CloudTrail (organisationsövergripande, flera regioner) för API-/hanteringshändelser, sömlös revision och kriminalteknik. Amazon GuardDuty (logg-/runtime-baserad hotdetektering), LEGIER Security Hub (centraliserad korrelation av fynd, CIS/Foundational Best Practices), valfri Macie/Inspector/Detective som signalkällor.
9. Backup, DR och oföränderlighet LEGIER backup med cross-region och cross-account kopior; policies centralt via organisationer; kombination med S3 Object Lock för backup WORM. Driftmodeller: Pilot-Light, Warm-Standby eller Active-Active; användning av multi-AZ-tjänster (RDS/Aurora, EKS, MSK) och Route 53 failover.
10. Styrning & arkitektoniska skyddsräcken LEGIER Välarkitekterad - Security Pillar som referens (designprinciper, kontroller, automatisering). Efterlevnad: bred täckning (inklusive ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact tillhandahåller SOC/ISO-bevisning på begäran för revisioner.

Exempel på blueprint (Zero-Trust & säkerhet på flera nivåer)

• Landningszon för flera konton (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (t.ex. förbjudna regioner/tjänster, påtvingad CloudTrail- och KMS-användning).
• Nätverk: Central hub VPC med transit gateway, nätverksbrandvägg inspektion VPC, gränssnittsändpunkter/privat länk till S3, STS, KMS, ECR, Secrets Manager; inga utgående publika vägar från privata undernät.
• Beräkning/behållare: EC2/EKS på Nitro; IMDSv2 verkställs; endast nödvändiga IAM-roller (minsta privilegium), Secrets i Secrets Manager/SSM Parameter Store.
• Data: S3 med blockerad offentlig åtkomst, standardkryptering (SSE-KMS), objektlås (efterlevnads- eller styrningsläge), Macie för PII-detektering.
• Edge/Apps: ALB/NLB bakom WAF & Shield Advanced, TLS-avslutningar/policyer hanteras via ACM; API-åtkomst företrädesvis privat via PrivateLink.
• Detektering & granskning: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flödesloggar/route 53 resolver loggar, Security Hub som central instrumentpanel & ärendeintegration.
• Säkerhetskopior/DR: Policys i LEGIER Backup med kopior över flera regioner och konton; KMS-nycklar för flera regioner för nyckelfasthet.

10. Cyberresiliens, säkerhetskopiering och återställning

Säkerhetskopiering mellan regioner/konton med oföränderliga kopior (objektlås/WORM), återställningsövningar i renrummet, RTO/RPO-profiler, runbooks (pilot light, varm standby, aktiv-aktiv). Mål: RPO ≤ 15 min, RTO ≤ 60 min.

11. Observerbarhet och operationell automatisering

Central telemetri (loggar/mätvärden/spår), korrelation & SOAR playbooks, SLO tracking, felbudgetar, speldagar och kaosövningar för att minska MTTD/MTTR.

12. energi, kyla och hållbarhet

Dubbla matningar, A/B UPS, N+1 generatorer, inneslutning, flytande/adiabatisk/fri kylning, värmeåtervinning, förnybara alternativ; PUE som nyckeltal för effektivitet.

13. Racklistor

13.1 Manama - kärnkraftverk

U	Enhet	Typ/Modell	Kvantitet	Matningsledning (A/B)	Max effekt [W]
42	Patchpanel A	LC/LC 144F	1	A	-
41	Patchpanel B	LC/LC 144F	1	B	-
40	Rygg 1	40/100G-switch 1U	1	A	600
39	Rygg 2	40/100G-switch 1U	1	B	600
38	Mgmt-switch	1G/10G 1U	1	A	120
37-30	Blad 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Brandväggskluster	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25-24	Lastbalanserare	2× 1U	2	A/B	2× 250

A-01: Kärnnätverk (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Dator/GPU (utbildning/inferens), CPU-noder, Mgmt/KVM A-03: Lagring (styrenheter, hyllor, backup-gateways)

13,2 Kuwait City - AZ-ställ

U	Enhet	Typ/Modell	Kvantitet	Matningsledning (A/B)	Max effekt [W]
42-41	Patchpanel A/B	-	2	A/B	-
40-25	CPU-server	1U	12	A/B	12× 400
24-17	GPU-server (DR)	2U	4	A/B	4× 2000
16-15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: AZ-nätverk/blad, brandväggar, LB K-02: Beräkning/DR K-03: Objekt/Backup (WORM/Immutable)

13.3 Singapore - Kantställ

U	Enhet	Typ/Modell	Kvantitet	Matningsledning (A/B)	Max effekt [W]
42	Patchpanel	-	1	A/B	-
41-40	Edge-router	1U	2	A/B	2× 250
39-38	Kantbrytare	1U	2	A/B	2× 200
37-34	Cache/Proxy-noder	1U	4	A/B	4× 350
33-32	WAF/DDoS apparat	1U	2	A/B	2× 300
31-28	Stream Gateway	1U	4	A/B	4× 300

S-01: Edge-routrar/-switchar, cache/proxy, WAF/DDoS, stream gateways

14 SLA-målvärden & KPI:er

Domän	Målvärde	Anmärkning
Tillgänglighet	≥ 99,999 %	Redundanta zoner, automatisk failover
RPO	≤ 15 minuter	Journalisering, replikering, ögonblicksbilder
RTO	≤ 60 minuter	Runbooks, återställning som kod
Säkerhet	MTTD < 5 minuter, MTTR < 60 minuter.	Detektering av anomalier, SOAR playbooks
Effektivitet	Optimering av PUE	Vätskekylning, frikylning

Tillgänglighet ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; kvartalsvisa genomgångar/revisioner. Logisk vy över användare/partners via Edge (Singapore) och DCI in i kärnstrukturen (Manama) och dataplattformar, med replikering till AZ Kuwait City.

 

15. Färdplan (12-24 månader)

Bahrain och Kuwait samt Singapore erbjuder strategiska fördelar för datacenter, Data Availability Zone och Edge-placering:

• Geografiskt läge: Centralt beläget mellan Europa, Asien och Afrika, idealiskt för globala förbindelser.
• Affärsvänlighet: Ingen bolagsskatt och 100 % utländskt ägande uppmuntrar till investeringar.
• Stöd för reglering: TRA och Economic Development Board (EDB) erbjuder incitament som Golden Licence.
• Infrastruktur: Sofistikerade kraft- och nätverksanslutningar och en kvalificerad arbetskraftsbas.
• Stabilitet: Som finanscentrum (Bahrain och Kuwait) i Mellanöstern och Asien (Singapore) erbjuder dessa platser politisk och ekonomisk säkerhet.

IBM z17 Funktioner:

• Telum® II-processor: Erbjuder hög datorkraft och AI-acceleration på chippet för inferensoperationer i realtid, t.ex. för analys av läsardata.
• Spyre™ Accelerator: Ökar AI:s datorkraft för generativa modeller och metoder med flera modeller.
• Säkerhet: Hårdvarubaserad kryptering och PCIe Cryptographic Coprocessor skyddar känsliga data.
• Motståndskraft: Integrerade funktioner säkerställer kontinuerlig tillgänglighet.

LEGIER dataminne:

Mediekoncernen LEGIER använder en filhostingtjänst som kan lagra stora mängder data, som nås via HTTP/HTTPS och som använder konceptet buckets och objects, som liknar kataloger och filer som har blivit etablerade som standard. Här arbetar LEGIER tillsammans med AWS och använder Elastic File System-nätverksenheter och Glacier-arkivering av filer för att uppnå en „99,999999999“ procent hållbarhet för data. Fördelen för mediekoncernen LEGIER är användningen av Elastic Block Store (EBS) och lagring på blocknivå som EC2-instanser kan kopplas till. Fördelen med denna teknik är att stora datamängder kan överföras med tjänsten Snöboll Hårddisklagring på vilken stora mängder data kan kopieras och skickas tillbaka med pakettjänst, varigenom överföringen av mycket stora mängder data till din egen 115 dagstidningar (artiklar, bilder, videor, live stream) är mycket snabbare och lagras i databaser (antingen SimpleDB eller Relational Database Service). Skalning av GPU/objekt/DCI/edge, utbyggnad av anycast, härdning av leveranskedjan (SLSA), automatisering av efterlevnad, regelbundna övningar i motståndskraft/återstart.