LEGIER DATA CENTER: มานามา (บาห์เรน) • โซนความพร้อมใช้งานข้อมูล คูเวตซิตี้ • ที่ตั้ง Edge สิงคโปร์ (KDDI เอเชียแปซิฟิก)

สารบัญ

 

 

 

บ่อยครั้ง Sky Look1. บทสรุปผู้บริหาร

การ กลุ่มโลหะผสม ดำเนินการระบบนิเวศศูนย์ข้อมูลแบบหลายชั้น ได้แก่ มานามา (คอร์) คูเวตซิตี้ (แอริโซนา) และสิงคโปร์ (เอดจ์) โดยนำเสนอเลเยอร์ที่แยกจากกันแต่ผสานรวมสำหรับเครือข่าย การประมวลผล การจัดเก็บข้อมูล ข้อมูล ปัญญาประดิษฐ์ และความปลอดภัย

เป้าหมาย: ความพร้อมใช้งานสูง ความปลอดภัยแบบไม่ไว้วางใจ ความหน่วงต่ำ และการปฏิบัติตามข้อกำหนดที่พิสูจน์ได้

ภายใต้การอนุมัติของ สำนักงานกำกับดูแลกิจการโทรคมนาคม (TRA) ในบาห์เรน ศูนย์ข้อมูล LEGIER ใช้เทคโนโลยีล้ำสมัย เช่น ส่วนประกอบ AI ของตัวเอง ดาร์กเทรซ-โซลูชั่นด้านความปลอดภัยและ เมนเฟรมของ IBMเทคโนโลยีที่จะช่วยให้มั่นใจได้ถึงแพลตฟอร์มที่เชื่อถือได้ ปรับขนาดได้ และปลอดภัย บาห์เรนและคูเวตมีข้อได้เปรียบด้านทำเลที่ตั้งเฉพาะที่ช่วยเพิ่มประสิทธิภาพการดำเนินงาน

หลักการชี้นำ:

• ความเป็นส่วนตัวมาก่อน (KMS/HSM)
• ความยืดหยุ่นของหลาย AZ/ภูมิภาค
• การสำรองข้อมูลข้ามบัญชี
• GitOps/IaC พร้อมอาร์ทิแฟกต์ที่ลงนาม
• การดำเนินงาน SRE ร่วมกับ SLO และระบบอัตโนมัติ (SOAR)

ศูนย์ข้อมูลมานามาได้รับการออกแบบมาเพื่อตอบสนองความต้องการที่เข้มงวดของบริษัทสื่อระดับโลก:

1. ความพร้อมใช้งานสูง: ความสามารถในการทำงานต่อเนื่อง 99,999 % เกิดขึ้นได้จากระบบสำรอง เช่น แหล่งพลังงานคู่ เครื่องกำเนิดไฟฟ้าฉุกเฉิน และฮาร์ดแวร์มิเรอร์ เพื่อให้มั่นใจถึงการผลิตข่าวสารอย่างต่อเนื่อง
2. ความสามารถในการปรับขนาด: โครงสร้างพื้นฐานสามารถขยายได้อย่างยืดหยุ่นเพื่อรองรับปริมาณข้อมูลที่เพิ่มขึ้นและความต้องการในการประมวลผล ซึ่งถือเป็นสิ่งสำคัญสำหรับการผลิตในเก้าภาษาทั่วโลก
3. การประมวลผลและจัดเก็บข้อมูล: ข้อมูลข้อความ รูปภาพ และวิดีโอหลายล้านจุดได้รับการประมวลผลและจัดเก็บแบบเรียลไทม์ SSD ความเร็วสูงและเครือข่ายพื้นที่จัดเก็บข้อมูล (SAN) ที่แข็งแกร่งช่วยรับประกันประสิทธิภาพ
4. การสนับสนุน AI: GPU และ TPU อันทรงพลังรองรับเวิร์กโหลด AI ที่ซับซ้อน เช่น การวิเคราะห์เนื้อหาและการแปล
5. ความปลอดภัยทางไซเบอร์: ข้อมูลที่ละเอียดอ่อนต้องมีการป้องกันขั้นสูง ซึ่งทำได้โดย ดาร์กเทรซ-ครอบคลุมเทคโนโลยี

 

กรณีการใช้งาน AI

1. การวิเคราะห์เนื้อหา:
2. • เทคโนโลยี: การเรียนรู้เชิงลึกและการประมวลผลภาษาธรรมชาติ (NLP) ด้วยโมเดลเช่น BERT วิเคราะห์ข้อความ จัดหมวดหมู่เนื้อหา และดึงข้อมูลที่เกี่ยวข้องออกมา
   • วิธีใช้: เร่งการประมวลผลข่าวและปรับปรุงความแม่นยำ เช่น ในการระบุแนวโน้มหรือหัวข้อสำคัญ
3. ระบบการแนะนำ:
   • เทคโนโลยี: การเรียนรู้ของเครื่องด้วยการกรองแบบร่วมมือและเครือข่ายประสาททำให้เนื้อหาเป็นส่วนตัวสำหรับผู้อ่าน
   • วิธีใช้: เพิ่มการมีส่วนร่วมของผู้ใช้ผ่านคำแนะนำการอ่านที่ปรับแต่งได้ เช่น เนื้อหาเฉพาะภูมิภาคหรือภาษา
4. การรายงานอัตโนมัติ:
   • เทคโนโลยี: โมเดล AI เชิงกำเนิด เช่น GPT สร้างรายงานประจำวัน เช่น สภาพอากาศหรือคะแนนกีฬา
   • วิธีใช้: ช่วยให้บรรณาธิการมีอิสระในการมุ่งเน้นไปที่การสืบสวนสอบสวนเชิงข่าวหรือการวิเคราะห์ที่ซับซ้อน
5. การแปลแบบเรียลไทม์:
   • เทคโนโลยี: เครื่องมือ AI เช่น DeepL หรือโมเดลของเราเองแปลเนื้อหาเป็น 9 ภาษาแบบเรียลไทม์
   • วิธีใช้: ช่วยให้สามารถเผยแพร่ข่าวสารทั่วโลกได้ทันที ซึ่งถือเป็นประโยชน์สำคัญสำหรับหนังสือพิมพ์ทั้ง 115 ฉบับ
6. การจดจำภาพและวิดีโอ:
   • เทคโนโลยี: เครือข่ายประสาทเทียมแบบ Convolutional (CNN) จะแท็กและให้คะแนนเนื้อหาวิดีโอโดยอัตโนมัติ
   • วิธีใช้: เร่งความเร็วในการเผยแพร่เนื้อหามัลติมีเดียผ่านการสร้างข้อมูลเมตาอัตโนมัติ

 

 

2. ตำแหน่งและโครงสร้าง

2.1 มานามา (บาห์เรน) – ภูมิภาคหลัก

การควบคุม/การประสานงานแบบรวมศูนย์, คลัสเตอร์ GPU/CPU, ระดับวัตถุ, SIEM/SOAR/KMS/PKI, DNS/ไดเรกทอรี, คลังข้อมูลอาร์ทิแฟกต์ (SBOM), โครงสร้าง Spine-leaf 100/200/400G, ECMP, การแยก VRF

2.2 เขตความพร้อมใช้งานข้อมูล (AZ) เมืองคูเวต

ความยืดหยุ่นทางภูมิศาสตร์/การแยกส่วน; โปรไฟล์การจำลองต่อคลาสข้อมูล (แบบซิงโครนัส/เกือบซิงโครนัส/อะซิงโครนัส); โดเมนความผิดพลาดที่แยกจากกัน จุดออกเฉพาะ การกำหนดขอบเขต IAM ความสามารถของ DR (ไฟนำร่อง–ใช้งาน-ใช้งาน)

2.3 ที่ตั้ง Edge สิงคโปร์ (KDDI เอเชียแปซิฟิก)

PoP ขอบที่เป็นกลางของผู้ให้บริการ (CDN/แคช, WAF/DDoS, สตรีมมิ่ง) ข้อมูลหลักผ่านการจำลองแบบที่ปลอดภัย เป้าหมาย: ลดเวลาแฝงของภูมิภาคเอเชียแปซิฟิกให้เหลือน้อยที่สุด โดยไม่ต้องใช้เส้นทางสาธารณะในซับเน็ตที่ละเอียดอ่อน

3. สถาปัตยกรรมเครือข่ายและการเชื่อมต่อ

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast BGP, SD-WAN, DCI มานามา–คูเวต–สิงคโปร์ ผ่าน DWDM/MPLS, QoS สำหรับการจำลองข้อมูล/สำรองข้อมูล, การตรวจสอบความหน่วง/ความสั่นไหวด้วยการเลือกเส้นทางแบบไดนามิก

ขอบเขต: NGFW, การตรวจสอบ L7, การกรอง DNS, การออกรายการไวท์ลิสต์ การแยกตะวันออก/ตะวันตก: VRF/VXLAN, SG/NACL, mTLS, การเข้าถึง JIT

4. การประมวลผล การจำลองเสมือน และชั้นคอนเทนเนอร์

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), การประสานงาน VM, โหนด GPU (ความแม่นยำแบบผสม), IMDSv2, อิมเมจที่ลงนาม (ร่วมลงนาม), การตรวจสอบ SBOM, ตัวควบคุมการตอบรับ, seccomp/AppArmor และความลับที่มีแบ็กเอนด์ KMS

ผู้เช่า: เนมสเปซ/โปรเจ็กต์, ABAC/RBAC, ขอบเขตการอนุญาต, นโยบายเครือข่ายที่ปฏิเสธตามค่าเริ่มต้น, Service Mesh mTLS, แอนตี้แอฟฟินิตี้

5. แพลตฟอร์มการจัดเก็บข้อมูลและข้อมูล

แฟลช NVMe สำหรับความหน่วงต่ำ, SAN/NAS สำหรับร้านค้า VM/DB, ร้านค้าอ็อบเจ็กต์ S3 พร้อมการกำหนดเวอร์ชัน, วงจรชีวิต, WORM และการจำลองแบบ มานามา↔คูเวต; แคชขอบในสิงคโปร์สำหรับสื่อ

มาตรฐาน: บล็อกการเข้าถึงสาธารณะ, การปฏิเสธโดยค่าเริ่มต้น, การเข้ารหัสฝั่งไคลเอนต์/เซิร์ฟเวอร์ (KMS/HSM), การบันทึกแบบเขียนครั้งเดียว, การแชร์แบบสาธารณะตามข้อยกเว้น

6. การวางแผนกำลังการผลิต

6.1 การคำนวณ

ทรัพยากร	ฝูงชน	งบประมาณการดำเนินงานต่อหน่วย	รวมทั้งหมด	หมายเหตุ
IBM z17 (เมนเฟรม)	1 เฟรม	ไม่มีข้อมูล	ไม่มีข้อมูล	การอนุมานธุรกรรม/AI ใกล้ระบบหลัก
เซิร์ฟเวอร์ GPU (2U, 8× GPU)	24 โหนด	2 กิโลวัตต์	≈ 48 กิโลวัตต์	การฝึกอบรม/การอนุมาน ภาพ/วิดีโอ/NLP
ซีพียู คอมพิวท์ (1U)	80 โหนด	0.4 กิโลวัตต์	≈ 32 กิโลวัตต์	เว็บ/ไมโครเซอร์วิส/K8s Worker
อุปกรณ์ TPU/AI	เครื่องใช้ไฟฟ้า 8 ชิ้น	1.2 กิโลวัตต์	≈ 9.6 กิโลวัตต์	ภาระงาน AI เฉพาะทาง

 

 

6.2 การจัดเก็บข้อมูล

สัตว์	ความจุ	ผลงาน	ภารกิจ
NVMe หลัก (ระดับ 0/1)	≈ 600 เทราไบต์	≈ 12 กิโลวัตต์	การใช้งาน I/O อย่างเข้มข้น (วารสาร/ข้อมูลสำคัญ)
SAN/NAS (บล็อค/ไฟล์)	≈ 2.5 พีบี	≈ 18 กิโลวัตต์	DB/VM store/editor share
การจัดเก็บวัตถุ (เข้ากันได้กับ S3)	≈ 8 พีบี	≈ 10 กิโลวัตต์	สื่อ, เวอร์ชัน, คลังข้อมูล
ระดับการเก็บถาวร (WORM/Cold)	≈ 20 พีบี	≈ 6 กิโลวัตต์	การจัดเก็บระยะยาว การปฏิบัติตาม

 

 

6.3 เครือข่าย/DCI

ส่วนประกอบ	ปริมาณงาน	เทคโนโลยี	หมายเหตุ
อัพลิงค์ผ้า	100/200/400 กิกะบิตต่อวินาที	สันใบ, ECMP	ปรับขนาดได้ในแนวนอน
DCI มานามา—คูเวต	≥ 2× 100 กิกะบิต/วินาที	DWDM/MPLS (ซ้ำซ้อน)	ซิงโครนัส/เกือบซิงโครนัสต่อเวิร์กโหลด
DCI มานามา—สิงคโปร์	≥ 2× 100 กิกะบิต/วินาที	ความซ้ำซ้อนของผู้ให้บริการ	การแคช/สตรีมมิ่งแบบ Edge
แอนนี่คาสต์/DDoS/WAF	ทั่วโลก	การขัดขอบ	การป้องกันและความหน่วงต่ำ

 

 

6.4 พลังงาน/ความเย็น

ทรัพยากร	การตีความ	เป้าหมาย	สังเกต
ราง UPS	ห่างออกไป	เอ็น+1	เส้นทางคู่ขนาน
เครื่องกำเนิดไฟฟ้า	เอ็น+1	ดีเซล + ATS	การทดสอบสกีข้ามประเทศทุกไตรมาส
การทำความเย็น	การระบายความร้อนด้วยของเหลว/แบบอิสระ	การปรับปรุง PUE	การกักเก็บทางเดินเย็น/อุ่น
พลังงานแสงอาทิตย์/CHP (ทางเลือก)	ปรับขนาดได้	ความยั่งยืน	การปรับให้เรียบโหลดสูงสุด

โดเมน	การปรับขนาด	วัด	หมายเหตุ
ความจุของ GPU	+50 %	การขยายคลัสเตอร์, ชั้นวางเพิ่มเติม	การขยายแบบโมดูลาร์
การจัดเก็บวัตถุ	+40 %	ส่วนขยายชั้นวาง	ระดับวงจรชีวิต/การเก็บถาวร
ปริมาณงาน DCI	+100 %	คลื่น 100G เพิ่มเติม	จุดสูงสุดของภูมิภาคเอเชียแปซิฟิก/EMEA
ขอบ PoPs	+2–3	เอเชียแปซิฟิก/ยุโรป ตะวันออกกลาง และแอฟริกา	การขยาย Anycast

GPU % มากกว่า 50 ตัว (GPU 8 ตัว/โหนด, 2U) และ CPU % มากกว่า 30 ตัวใน 12–24 เดือน ความหนาแน่นของแร็คและการระบายความร้อนได้รับการตรวจยืนยันโดยการจำลองความร้อน

 

 

7. ฐานข้อมูลและการส่งข้อความ

OLTP/OLAP เชิงสัมพันธ์, KV/ที่จัดเก็บเอกสาร, ดัชนีการค้นหา, การสตรีม; โมเดลความสอดคล้องและการจำลองแบบซิงก์/อะซิงก์; DNS/แอปพลิเคชันล้มเหลว, PITR, การทดสอบการคืนค่าห้องคลีนรูม

 

 

8. แพลตฟอร์ม AI และปริมาณงานสื่อ

• ร้านค้าคุณลักษณะ, การลงทะเบียนโมเดล, ท่อส่งการฝึกอบรมที่ทำซ้ำได้, การอธิบาย/การตรวจสอบ (การดริฟต์/อคติ), การกำกับดูแล
• สื่อ: การแปลงรหัส, DRM, การปรับแต่ง, การแคชแบบเอจ

ซอฟต์แวร์:

 

• ที่ปรึกษาการอัพเกรด COBOL สำหรับ z/OS: ปรับปรุงแอปพลิเคชันเก่าให้ทันสมัยสำหรับ Enterprise COBOL 6
• การสังเกต Instana สำหรับ Z: ตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานแบบเรียลไทม์
• IntelliMagic Vision สำหรับ z/OS: เพิ่มประสิทธิภาพการทำงานของเมนเฟรม
• watsonx Assistant สำหรับ Z: เพิ่มผลผลิตด้วยผู้ช่วย AI
• การดำเนินงาน Z รวม: ลดความซับซ้อนของกระบวนการด้วยระบบอัตโนมัติที่ขับเคลื่อนด้วย AI
• การปรับปรุงแอปพลิเคชัน: เครื่องมือเช่น Application Delivery Foundation สำหรับ z/OS, watsonx Code Assistant สำหรับ Z และ z/OS Connect ช่วยปรับปรุงแอปพลิเคชันและ API ให้ทันสมัย
• ซอฟต์แวร์เพิ่มเติม: CICS (การประมวลผลธุรกรรม), DB2 สำหรับ z/OS (ฐานข้อมูล), IMS (การจัดการธุรกรรม) และ Omegamon (การตรวจสอบ)

z17 มอบรากฐานที่แข็งแกร่งสำหรับการประมวลผลข้อมูลและการรวม AI ในศูนย์ข้อมูล

 

9. ความปลอดภัยและการปฏิบัติตามข้อกำหนด

Zero-Trust, MFA/SSO, สิทธิ์ขั้นต่ำ, การเข้ารหัสแบบ End-to-End, ห่วงโซ่อุปทานที่มีการลงนาม (SBOM/SLSA), SIEM/SOAR, สิ่งประดิษฐ์การตรวจสอบ และบันทึกการประมวลผล

 

9.1 อุปกรณ์กั้นความปลอดภัยเสริม (จาก “LEGIER DT SEC”)

1. รูปแบบการดำเนินงานและรอยเท้าทั่วโลก
   ศูนย์ข้อมูล (เวิร์กโหลด) ดำเนินงานในรูปแบบหลายภูมิภาค/หลาย AZ: การผลิตในภูมิภาค A (อย่างน้อย 3 AZ) และการทำงานแบบซิงโครนัสในภูมิภาค B (DR/Active-Active ขึ้นอยู่กับ RPO/RTO) LEGIER ให้บริการภูมิภาคและโซนความพร้อมใช้งานที่กระจายอยู่ทั่วโลก ซึ่งแยกจากกันทางกายภาพและไม่ขึ้นอยู่กับพลังงาน/ระบบทำความเย็น/เครือข่าย
2. “โมเดลความรับผิดชอบร่วมกัน”
   LEGIER รับผิดชอบด้านความปลอดภัยบนคลาวด์ (สถานที่ตั้งทางกายภาพ ฮาร์ดแวร์ การจำลองเสมือน และบริการหลัก) ลูกค้ารับผิดชอบด้านความปลอดภัยบนคลาวด์ (ข้อมูลประจำตัว เครือข่าย ข้อมูล เลเยอร์ระบบปฏิบัติการ/คอนเทนเนอร์/แอปพลิเคชัน) โมเดลนี้จะกำหนดสถาปัตยกรรม การควบคุม และการตรวจสอบในทุกเลเยอร์
3. การรักษาความปลอดภัยทางกายภาพ
   ระบบควบคุมทางกายภาพแบบหลายชั้น: ขอบเขต (การควบคุมการเข้าถึง การเฝ้าระวัง) ทางเข้าที่ปลอดภัยด้วย MFA เซ็นเซอร์/สัญญาณเตือนภัย การบันทึกการเข้า-ออก และการกำหนดโซนที่เข้มงวดภายในอาคาร ระบบควบคุมเหล่านี้ควบคุมและตรวจสอบจากส่วนกลางโดย LEGIER
4. การแบ่งส่วนเครือข่ายและการป้องกันขอบเขต
   การออกแบบ VPC พร้อมการแบ่งเครือข่ายย่อยสาธารณะ/ส่วนตัวตาม AZ, แนวคิดการแยกส่วนตะวันออก/ตะวันตกอย่างเข้มงวด, กลุ่มความปลอดภัยแบบมีสถานะ + NACL ไฟร์วอลล์เครือข่าย LEGIER ที่ใช้ควบคุมขอบเขต/ทางออก L7 แบบมีสถานะ (เช่น ผ่านเกตเวย์การขนส่งสำหรับการตรวจสอบแบบรวมศูนย์) LEGIER PrivateLink/VPC Endpoints: การเข้าถึง LEGIER API และบริการพันธมิตรแบบส่วนตัวโดยไม่ต้องเปิดเผยอินเทอร์เน็ต LEGIER WAF และ LEGIER Shield Advanced ปกป้องอุปกรณ์ปลายทางที่เชื่อมต่อกับอินเทอร์เน็ต (กฎ L7, การป้องกันบอท/DDoS)
5. การแยกการคำนวณ (LEGIER Nitro)
   อินสแตนซ์ EC2 ทำงานบนระบบ LEGIER FACE: การแยกการออฟโหลดฮาร์ดแวร์ ("Nitro Cards") ไฮเปอร์ไวเซอร์ Nitro แบบลีนที่ไม่มีการจำลองอุปกรณ์ และชิปรักษาความปลอดภัย Nitro สำหรับการตรวจสอบความสมบูรณ์ ดังนั้นจึงมีผู้เช่าหลายรายที่แข็งแกร่งและลดพื้นผิวการโจมตีให้เหลือน้อยที่สุด
6. ตัวตน ผู้เช่า และสิทธิพิเศษน้อยที่สุด
   องค์กร LEGIER ที่มี SCP (นโยบายควบคุมบริการ) จะบังคับใช้ขีดจำกัดสิทธิ์สูงสุด (guardrails) สำหรับบัญชีทั้งหมด (โซนปลายทาง) จากส่วนกลาง IAM Identity Center (เดิมคือ SSO) จะผสานรวม IdP ขององค์กร มอบ SSO และการกำหนดรายละเอียดให้กับบัญชี/แอปต่างๆ ขณะที่ ABAC/ขอบเขตสิทธิ์เสริมจะเสริมสิทธิ์ขั้นต่ำ
7. ความปลอดภัยของข้อมูลและการเข้ารหัส
   มาตรฐาน: การเข้ารหัสขณะพัก/ระหว่างการขนส่ง การจัดการคีย์ผ่าน LEGIER KMS เพื่อความยืดหยุ่นทางภูมิศาสตร์ คีย์หลายภูมิภาค (วัสดุคีย์/รหัสคีย์เดียวกันในหลายภูมิภาค – เข้ารหัสในภูมิภาค A และถอดรหัสในภูมิภาค B) CloudHSM แบบออนดีมานด์ (คลัสเตอร์ HSM ที่ลูกค้าเป็นเจ้าของ ตรวจสอบโดย FIPS ผู้เช่ารายเดียว) เพื่ออำนาจอธิปไตยของคีย์สูงสุด การควบคุม S3: บล็อกการเข้าถึงสาธารณะ (ระดับบัญชี/บัคเก็ต) ในรูปแบบ "สาธารณะโดยข้อยกเว้น" S3 Object Lock (WORM) เพื่อความไม่เปลี่ยนแปลงและความยืดหยุ่นต่อแรนซัมแวร์ LEGIER LOGS: การตรวจจับ/ตรวจสอบข้อมูลสำคัญที่ขับเคลื่อนด้วย ML (S3) และการผสานรวมกับ Security Hub
8. การตรวจจับ การบันทึก และการจัดการท่าทาง
   LEGIER CloudTrail (ครอบคลุมทั้งองค์กร หลายภูมิภาค) สำหรับเหตุการณ์ API/การจัดการ การตรวจสอบที่ราบรื่น และการตรวจสอบทางนิติวิทยาศาสตร์ Amazon GuardDuty (การตรวจจับภัยคุกคามตามบันทึก/รันไทม์), LEGIER Security Hub (การเชื่อมโยงผลการค้นพบส่วนกลาง, CIS/แนวปฏิบัติที่ดีที่สุดขั้นพื้นฐาน) และอาจใช้ Macie/Inspector/Detective เป็นแหล่งสัญญาณเสริม
9. การสำรองข้อมูล, DR และความไม่เปลี่ยนแปลง
   การสำรองข้อมูล LEGIER พร้อมสำเนาข้ามภูมิภาคและข้ามบัญชี นโยบายรวมศูนย์ผ่านองค์กร ใช้ร่วมกับ S3 Object Lock สำหรับการสำรองข้อมูล WORM รุ่นปฏิบัติการ: Pilot-Light, Warm-Standby หรือ Active-Active การใช้บริการ Multi-AZ (RDS/Aurora, EKS, MSK) และ Failover ของ Route 53
10. แนวทางการกำกับดูแลและสถาปัตยกรรม
    LEGIER Well-Architected – เสาหลักความปลอดภัยสำหรับอ้างอิง (หลักการออกแบบ ระบบควบคุม ระบบอัตโนมัติ) การปฏิบัติตาม: ครอบคลุมอย่างกว้างขวาง (รวมถึง ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP และอื่นๆ) LEGIER Artifact มอบหลักฐาน SOC/ISO ตามความต้องการสำหรับการตรวจสอบ

ตัวอย่างแผนผัง (การรักษาความปลอดภัยแบบ Zero Trust และแบบหลายชั้น)

• โซนการลงจอดหลายบัญชี (การผลิต/ไม่ผลิต/ความปลอดภัย/การเก็บถาวรบันทึก) + การป้องกัน SCP (เช่น ภูมิภาค/บริการที่ถูกจำกัด การใช้ CloudTrail และ KMS ที่บังคับใช้)
• เครือข่าย: ฮับกลาง VPC พร้อมเกตเวย์การขนส่ง, การตรวจสอบไฟร์วอลล์เครือข่าย VPC, จุดสิ้นสุดอินเทอร์เฟซ/ลิงก์ส่วนตัวไปยัง S3, STS, KMS, ECR, Secrets Manager; ไม่มีเส้นทางสาธารณะขาออกจากซับเน็ตส่วนตัว
• การคำนวณ/คอนเทนเนอร์: EC2/EKS บน Nitro; บังคับใช้ IMDSv2; มีบทบาท IAM ที่จำเป็นเท่านั้น (สิทธิ์น้อยที่สุด) ความลับใน Secrets Manager/SSM Parameter Store
• ข้อมูล: S3 พร้อมการเข้าถึงสาธารณะแบบบล็อก, การเข้ารหัสเริ่มต้น (SSE-KMS), การล็อควัตถุ (โหมดการปฏิบัติตามหรือการกำกับดูแล), Macie สำหรับการตรวจจับ PII
• Edge/แอป: ALB/NLB อยู่เบื้องหลัง WAF และ Shield Advanced, การยุติ/นโยบาย TLS จัดการผ่าน ACM; การเข้าถึง API ควรจะเป็นส่วนตัวผ่าน PrivateLink
• การตรวจจับและการตรวจสอบ: CloudTrail ทั่วทั้งองค์กร + ถังบันทึก S3 (WORM), บันทึกการไหลของ GuardDuty/VPC/บันทึกตัวแก้ไข Route 53, ศูนย์กลางความปลอดภัยเป็นแดชบอร์ดกลางและการรวมตั๋ว
• การสำรองข้อมูล/DR: นโยบายในการสำรองข้อมูล LEGIER พร้อมสำเนาข้ามภูมิภาคและข้ามบัญชี; คีย์หลายภูมิภาค KMS เพื่อความยืดหยุ่นของคีย์

10. ความยืดหยุ่นทางไซเบอร์ การสำรองข้อมูล และการกู้คืน

การสำรองข้อมูลข้ามภูมิภาค/ข้ามบัญชีพร้อมสำเนาที่ไม่เปลี่ยนแปลง (Object Lock/WORM), การกู้คืนข้อมูลการฝึกซ้อมในห้องคลีนรูม, โปรไฟล์ RTO/RPO, รันบุ๊ก (ไฟนำร่อง, สแตนด์บายอุ่น, แอคทีฟ-แอคทีฟ) เป้าหมาย: RPO ≤ 15 นาที, RTO ≤ 60 นาที

11. การสังเกตและการทำงานอัตโนมัติ

การวัดระยะไกลแบบรวมศูนย์ (บันทึก/เมตริก/การติดตาม) การเชื่อมโยงและคู่มือ SOAR การติดตาม SLO งบประมาณข้อผิดพลาด วันเกม และการฝึกซ้อมความโกลาหลเพื่อลด MTTD/MTTR

 

 

12. พลังงาน ความเย็น และความยั่งยืน

เครื่องป้อนคู่, UPS A/B, เครื่องกำเนิดไฟฟ้า N+1, การกักเก็บ, การระบายความร้อนด้วยของเหลว/อะเดียแบติก/อิสระ, การกู้คืนความร้อน, ตัวเลือกพลังงานหมุนเวียน; PUE เป็น KPI ของประสิทธิภาพ

13. รายการชั้นวาง

13.1 มานามา – คอร์แร็คส์

คุณ	อุปกรณ์	ประเภท/รุ่น	ตัวเลข	สายส่ง (A/B)	กำลังสูงสุด [W]
42	แผงแพทช์ A	แอลซี/แอลซี 144เอฟ	1	เอ	-
41	แผงแพทช์ B	แอลซี/แอลซี 144เอฟ	1	บี	-
40	กระดูกสันหลัง 1	สวิตช์ 40/100G 1U	1	เอ	600
39	กระดูกสันหลัง 2	สวิตช์ 40/100G 1U	1	บี	600
38	สวิตช์การจัดการ	1G/10G 1U	1	เอ	120
37–30	หน้า 1–8	25/100G ถึง 1U	8	ห่างออกไป	8× 450
29–28	คลัสเตอร์ไฟร์วอลล์	เอ็นจีเอฟดับบลิว 2ยู	2	ห่างออกไป	2× 800
27	ไอดีเอส/ไอพีเอส	1ยู	1	เอ	200
26	ขอบ DDoS	1ยู	1	บี	200
25–24	ตัวปรับสมดุลการโหลด	2× 1ยู	2	ห่างออกไป	2× 250

A-01: เครือข่ายหลัก (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: การคำนวณ/GPU (การฝึกอบรม/การอนุมาน), โหนด CPU, การจัดการ/KVM
A-03: พื้นที่จัดเก็บ (ตัวควบคุม ชั้นวาง เกตเวย์สำรอง)

13.2 คูเวตซิตี้ – AZ แร็คส์

คุณ	อุปกรณ์	ประเภท/รุ่น	ตัวเลข	สายส่ง (A/B)	กำลังสูงสุด [W]
42–41	แผงแพทช์ A/B	-	2	ห่างออกไป	-
40–25	เซิร์ฟเวอร์ซีพียู	1ยู	12	ห่างออกไป	12×400
24–17	เซิร์ฟเวอร์ GPU (DR)	2U	4	ห่างออกไป	4× 2000
16–15	การจัดการ/KVM	1ยู	2	ห่างออกไป	2× 80

K-01: เครือข่าย AZ/Leaf, ไฟร์วอลล์, LB
K-02: การคำนวณ/DR
K-03: วัตถุ/การสำรองข้อมูล (WORM/ไม่เปลี่ยนแปลง)

13.3 สิงคโปร์ – เอจ แร็ค

คุณ	อุปกรณ์	ประเภท/รุ่น	ตัวเลข	สายส่ง (A/B)	กำลังสูงสุด [W]
42	แผงแพทช์	-	1	ห่างออกไป	-
41–40	เราเตอร์ขอบ	1ยู	2	ห่างออกไป	2× 250
39–38	สวิตช์ขอบ	1ยู	2	ห่างออกไป	2× 200
37–34	โหนดแคช/พร็อกซี	1ยู	4	ห่างออกไป	4× 350
33–32	อุปกรณ์ WAF/DDoS	1ยู	2	ห่างออกไป	2× 300
31–28	เกตเวย์สตรีม	1ยู	4	ห่างออกไป	4× 300

S-01: เราเตอร์/สวิตช์ Edge, แคช/พร็อกซี, WAF/DDoS, เกตเวย์สตรีม

14. เป้าหมาย SLA และ KPI

โดเมน	ค่าเป้าหมาย	หมายเหตุ
ความพร้อมใช้งาน	≥ 99.999 %	โซนซ้ำซ้อน, การสำรองข้อมูลอัตโนมัติ
อาร์พีโอ	≤ 15 นาที	การบันทึก การจำลอง และสแน็ปช็อต
กรมการขนส่งทางบก	≤ 60 นาที	Runbooks การกู้คืนเป็นรหัส
ความปลอดภัย	MTTD < 5 นาที, MTTR < 60 นาที	การตรวจจับความผิดปกติ, คู่มือ SOAR
ประสิทธิภาพ	การเพิ่มประสิทธิภาพ PUE	ระบบระบายความร้อนด้วยของเหลว ระบายความร้อนแบบอิสระ

ความพร้อมใช้งาน ≥ 99,999 %, MTTD < 5 นาที, MTTR < 60 นาที, RPO ≤ 15 นาที, RTO ≤ 60 นาที; การตรวจสอบ/ตรวจสอบรายไตรมาส

มุมมองเชิงตรรกะของผู้ใช้/พันธมิตรผ่าน Edge (สิงคโปร์) และ DCI เข้าสู่ Core Fabric (มานามา) และแพลตฟอร์มข้อมูล โดยมีการจำลองไปยัง AZ เมืองคูเวต

 

 

15. แผนงาน (12–24 เดือน)

บาห์เรน คูเวต และสิงคโปร์เสนอข้อได้เปรียบเชิงกลยุทธ์สำหรับศูนย์ข้อมูล โซนความพร้อมใช้งานของข้อมูล และตำแหน่งขอบ:

• ที่ตั้งทางภูมิศาสตร์: ตั้งอยู่ในทำเลใจกลางระหว่างยุโรป เอเชีย และแอฟริกา เหมาะสำหรับการเชื่อมต่อทั่วโลก
• ความเป็นมิตรต่อธุรกิจ: ไม่มีภาษีนิติบุคคลและการเป็นเจ้าของต่างชาติ 100% ส่งเสริมการลงทุน
• การสนับสนุนด้านกฎระเบียบ: TRA และคณะกรรมการพัฒนาเศรษฐกิจ (EDB) เสนอแรงจูงใจ เช่น ใบอนุญาตทองคำ
• โครงสร้างพื้นฐาน: การเชื่อมต่อพลังงานและเครือข่ายขั้นสูงและแรงงานที่มีทักษะ
• ความเสถียร: เนื่องจากเป็นศูนย์กลางทางการเงิน (บาห์เรนและคูเวต) ในตะวันออกกลางและเอเชีย (สิงคโปร์) สถานที่เหล่านี้จึงให้ความมั่นคงทางการเมืองและเศรษฐกิจ

คุณสมบัติของ IBM z17:

• โปรเซสเซอร์ Telum® II: ให้พลังการประมวลผลสูงและการเร่งความเร็ว AI บนชิปสำหรับการดำเนินการอนุมานแบบเรียลไทม์ เช่น การวิเคราะห์ข้อมูลของผู้อ่าน
• ตัวเร่งความเร็ว Spyre™: เพิ่มพลังการประมวลผล AI สำหรับโมเดลกำเนิดและวิธีการหลายโมเดล
• ความปลอดภัย: การเข้ารหัสบนฮาร์ดแวร์และโคโปรเซสเซอร์เข้ารหัส PCIe ช่วยปกป้องข้อมูลที่ละเอียดอ่อน
• ความยืดหยุ่น: ฟังก์ชั่นที่ผสานรวมช่วยให้มั่นใจถึงความพร้อมใช้งานอย่างต่อเนื่อง

การจัดเก็บข้อมูล LEGIER:

LEGIER Media Group ใช้บริการโฮสต์ไฟล์ที่สามารถจัดเก็บข้อมูลจำนวนมากได้ เข้าถึงได้ผ่าน HTTP/HTTPS และใช้ประโยชน์จากแนวคิดมาตรฐานที่กำหนดไว้ของบัคเก็ตและอ็อบเจ็กต์ ซึ่งคล้ายกับไดเรกทอรีและไฟล์ LEGIER ร่วมมือกับ AWS เพื่อให้บรรลุความทนทานของข้อมูล 99.999999999% โดยใช้ไดรฟ์เครือข่าย Elastic File System และการเก็บถาวรไฟล์ Glacier ข้อได้เปรียบสำหรับ LEGIER Media Group คือการใช้ Elastic Block Store (EBS) และพื้นที่จัดเก็บข้อมูลระดับบล็อก ซึ่งสามารถเชื่อมต่ออินสแตนซ์ EC2 ได้

ข้อดีของเทคโนโลยีนี้คือการถ่ายโอนข้อมูลจำนวนมากด้วยบริการ สโนว์บอล ระบบจัดเก็บข้อมูลฮาร์ดดิสก์ที่สามารถคัดลอกและส่งคืนข้อมูลจำนวนมากผ่านบริการพัสดุ โดยการถ่ายโอนข้อมูลจำนวนมากไปยังหนังสือพิมพ์รายวัน 115 ฉบับของบริษัท (บทความ รูปภาพ วิดีโอ สตรีมสด) เร็วขึ้นอย่างเห็นได้ชัด และจัดเก็บไว้ในฐานข้อมูล (SimpleDB หรือ Relational Database Service)

การปรับขนาด GPU/Object/DCI/Edge การขยาย Anycast การเสริมความแข็งแกร่งให้กับห่วงโซ่อุปทาน (SLSA) การปฏิบัติตามข้อกำหนดอัตโนมัติ การฝึกซ้อมการฟื้นตัว/การรีสตาร์ทเป็นประจำ