LEGIER DATA CENTER: Manama (บาห์เรน) • Data โซนความพร้อมใช้งาน คูเวตซิตี้ • ที่ตั้ง Edge สิงคโปร์ (KDDI เอเชียแปซิฟิก)

สารบัญ

บ่อยครั้ง Sky Look1. บทสรุปผู้บริหาร

การ กลุ่ม LEGIER ดำเนินการระบบนิเวศ Datacenter แบบหลายชั้น ร่วมกับ Manama (Core), Kuwait City (AZ) และ Singapore (Edge) โดยมีเลเยอร์ที่แยกจากกันแต่ผสานรวมสำหรับเครือข่าย การประมวลผล การจัดเก็บข้อมูล ข้อมูล ปัญญาประดิษฐ์ และความปลอดภัย เป้าหมาย: ความพร้อมใช้งานสูง ความปลอดภัยระดับศูนย์ Trust ความหน่วงต่ำ และการปฏิบัติตามข้อกำหนดที่พิสูจน์ได้ ภายใต้การอนุมัติของ สำนักงานกำกับดูแลกิจการโทรคมนาคม (TRA) ในบาห์เรน ศูนย์ข้อมูล LEGIER ใช้เทคโนโลยีล้ำสมัย เช่น ส่วนประกอบ AI ของตัวเอง, ดาร์กเทรซ-โซลูชั่นด้านความปลอดภัยและ เมนเฟรมของ IBMเทคโนโลยีที่จะช่วยให้มั่นใจได้ถึงแพลตฟอร์มที่เชื่อถือได้ ปรับขนาดได้ และปลอดภัย บาห์เรนและคูเวตมีข้อได้เปรียบด้านทำเลที่ตั้งเฉพาะที่ช่วยเพิ่มประสิทธิภาพการดำเนินงาน. หลักการชี้นำ:

ความเป็นส่วนตัวมาก่อน (KMS/HSM)
ความยืดหยุ่นของหลาย AZ/ภูมิภาค
การสำรองข้อมูลข้ามบัญชี
GitOps/IaC พร้อมอาร์ทิแฟกต์ที่ลงนาม
การดำเนินงาน SRE ร่วมกับ SLO และระบบอัตโนมัติ (SOAR)

ศูนย์ข้อมูลมานามาได้รับการออกแบบมาเพื่อตอบสนองความต้องการที่เข้มงวดของบริษัทสื่อระดับโลก:

ความพร้อมใช้งานสูง: ความสามารถในการทำงานต่อเนื่อง 99,999 % ทำได้โดยใช้ระบบซ้ำซ้อน เช่น แหล่งพลังงานคู่ เครื่องกำเนิดไฟฟ้าฉุกเฉิน และฮาร์ดแวร์มิเรอร์ เพื่อให้มั่นใจถึงการผลิตข่าวสารอย่างต่อเนื่อง.
ความสามารถในการปรับขนาด: โครงสร้างพื้นฐานสามารถขยายได้อย่างยืดหยุ่นเพื่อรองรับปริมาณข้อมูลที่เพิ่มขึ้นและความต้องการในการประมวลผล ซึ่งถือเป็นสิ่งสำคัญสำหรับการผลิตในเก้าภาษาทั่วโลก.
การประมวลผลและจัดเก็บข้อมูล: ข้อมูลข้อความ รูปภาพ และวิดีโอหลายล้านจุดได้รับการประมวลผลและจัดเก็บแบบเรียลไทม์ SSD ความเร็วสูงและเครือข่ายพื้นที่จัดเก็บข้อมูล (SAN) ที่แข็งแกร่งช่วยรับประกันประสิทธิภาพ.
การสนับสนุน AI: GPU และ TPU อันทรงพลังรองรับเวิร์กโหลด AI ที่ซับซ้อน เช่น การวิเคราะห์เนื้อหาและการแปล.
ความปลอดภัยทางไซเบอร์: ข้อมูลที่ละเอียดอ่อนต้องมีการป้องกันขั้นสูง ซึ่งทำได้โดย ดาร์กเทรซ-ครอบคลุมเทคโนโลยี.

กรณีการใช้งาน AI

การวิเคราะห์เนื้อหา:
- เทคโนโลยี: การเรียนรู้เชิงลึกและการประมวลผลภาษาธรรมชาติ (NLP) ด้วยโมเดลเช่น BERT วิเคราะห์ข้อความ จัดหมวดหมู่เนื้อหา และดึงข้อมูลที่เกี่ยวข้องออกมา.
- วิธีใช้: เร่งการประมวลผลข่าวและปรับปรุงความแม่นยำ เช่น ในการระบุแนวโน้มหรือหัวข้อสำคัญ.
ระบบการแนะนำ:
- เทคโนโลยี: การเรียนรู้ของเครื่องด้วยการกรองแบบร่วมมือและเครือข่ายประสาททำให้เนื้อหาเป็นส่วนตัวสำหรับผู้อ่าน.
- วิธีใช้: เพิ่มการมีส่วนร่วมของผู้ใช้ผ่านคำแนะนำการอ่านที่ปรับแต่งได้ เช่น เนื้อหาเฉพาะภูมิภาคหรือภาษา.
การรายงานอัตโนมัติ:
- เทคโนโลยี: โมเดล AI เชิงกำเนิด เช่น GPT สร้างรายงานประจำวัน เช่น สภาพอากาศหรือคะแนนกีฬา.
- วิธีใช้: ช่วยให้บรรณาธิการมีอิสระในการมุ่งเน้นไปที่การสืบสวนสอบสวนเชิงข่าวหรือการวิเคราะห์ที่ซับซ้อน.
การแปลแบบเรียลไทม์:
- เทคโนโลยี: เครื่องมือ AI เช่น DeepL หรือโมเดลของเราเองแปลเนื้อหาเป็น 9 ภาษาแบบเรียลไทม์.
- วิธีใช้: ช่วยให้สามารถเผยแพร่ข่าวสารทั่วโลกได้ทันที ซึ่งถือเป็นประโยชน์สำคัญสำหรับหนังสือพิมพ์ทั้ง 115 ฉบับ.
การจดจำภาพและวิดีโอ:
- เทคโนโลยี: เครือข่ายประสาทเทียมแบบ Convolutional (CNN) จะแท็กและให้คะแนนเนื้อหาวิดีโอโดยอัตโนมัติ.
- วิธีใช้: เร่งความเร็วในการเผยแพร่เนื้อหามัลติมีเดียผ่านการสร้างข้อมูลเมตาอัตโนมัติ.

2. ตำแหน่งและโครงสร้าง

2.1 มานามา (บาห์เรน) – ภูมิภาคหลัก

การควบคุม/การประสานงานแบบรวมศูนย์, คลัสเตอร์ GPU/CPU, ระดับวัตถุ, SIEM/SOAR/KMS/PKI, DNS/ไดเรกทอรี, คลังข้อมูลอาร์ทิแฟกต์ (SBOM), โครงสร้าง Spine-leaf 100/200/400G, ECMP, การแยก VRF.

2.2 Data เขตพื้นที่ให้บริการ (AZ) เมืองคูเวต

ความยืดหยุ่นทางภูมิศาสตร์/การแยกส่วน; โปรไฟล์การจำลองต่อคลาสข้อมูล (แบบซิงโครนัส/เกือบซิงโครนัส/อะซิงโครนัส); โดเมนความผิดพลาดที่แยกจากกัน จุดออกเฉพาะ การกำหนดขอบเขต IAM ความสามารถของ DR (ไฟนำร่อง–ใช้งาน-ใช้งาน).

2.3 ที่ตั้ง Edge สิงคโปร์ (KDDI เอเชียแปซิฟิก)

PoP ขอบที่เป็นกลางของผู้ให้บริการ (CDN/แคช, WAF/DDoS, สตรีมมิ่ง) ข้อมูลหลักผ่านการจำลองแบบที่ปลอดภัย เป้าหมาย: ลดเวลาแฝงของภูมิภาคเอเชียแปซิฟิกให้เหลือน้อยที่สุด โดยไม่ต้องใช้เส้นทางสาธารณะในซับเน็ตที่ละเอียดอ่อน.

3. สถาปัตยกรรมเครือข่ายและการเชื่อมต่อ

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast BGP, SD-WAN, DCI มานามา–คูเวต–สิงคโปร์ ผ่าน DWDM/MPLS, QoS สำหรับการจำลองข้อมูล/สำรองข้อมูล, การตรวจสอบความหน่วง/ความสั่นไหวด้วยการเลือกเส้นทางแบบไดนามิก ขอบเขต: NGFW, การตรวจสอบ L7, การกรอง DNS, การสร้างไวท์ลิสต์ขาออก การแยกสัญญาณตะวันออก/ตะวันตก: VRF/VXLAN, SG/NACL, mTLS, การเข้าถึง JIT.

4. การประมวลผล การจำลองเสมือน และชั้นคอนเทนเนอร์

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), การประสาน VM, โหนด GPU (ความแม่นยำแบบผสม), IMDSv2, อิมเมจที่ลงนาม (ร่วมลงนาม), การตรวจสอบ SBOM, ตัวควบคุมการรับเข้า, seccomp/AppArmor, Secrets พร้อมแบ็กเอนด์ KMS ผู้เช่า: เนมสเปซ/โปรเจ็กต์, ABAC/RBAC, ขอบเขตสิทธิ์, นโยบายเครือข่ายที่ปฏิเสธค่าเริ่มต้น, Service Mesh mTLS, Anti-Affinity.

5. แพลตฟอร์มการจัดเก็บข้อมูลและข้อมูล

NVMe flash สำหรับความหน่วงต่ำ, SAN/NAS สำหรับพื้นที่จัดเก็บ VM/DB, พื้นที่จัดเก็บอ็อบเจ็กต์ S3 พร้อมการกำหนดเวอร์ชัน, วงจรชีวิต, WORM และการจำลองข้อมูลระหว่างมานามาและคูเวต; แคชเอจในสิงคโปร์สำหรับสื่อ มาตรฐาน: บล็อกการเข้าถึงสาธารณะ, การปฏิเสธค่าเริ่มต้น, การเข้ารหัสฝั่งไคลเอ็นต์/เซิร์ฟเวอร์ (KMS/HSM), การบันทึกข้อมูลแบบเขียนครั้งเดียว, การแชร์ข้อมูลสาธารณะโดยข้อยกเว้น.

6. การวางแผนกำลังการผลิต

6.1 การคำนวณ

ทรัพยากร	ฝูงชน	งบประมาณการดำเนินงานต่อหน่วย	รวมทั้งหมด	หมายเหตุ
IBM z17 (เมนเฟรม)	1 เฟรม	ไม่มีข้อมูล	ไม่มีข้อมูล	การอนุมานธุรกรรม/AI ใกล้ระบบหลัก
เซิร์ฟเวอร์ GPU (2U, 8× GPU)	24 โหนด	2 กิโลวัตต์	≈ 48 กิโลวัตต์	การฝึกอบรม/การอนุมาน ภาพ/วิดีโอ/NLP
ซีพียู คอมพิวท์ (1U)	80 โหนด	0.4 กิโลวัตต์	≈ 32 กิโลวัตต์	เว็บ/ไมโครเซอร์วิส/K8s Worker
อุปกรณ์ TPU/AI	เครื่องใช้ไฟฟ้า 8 ชิ้น	1.2 กิโลวัตต์	≈ 9.6 กิโลวัตต์	ภาระงาน AI เฉพาะทาง

6.2 การจัดเก็บข้อมูล

สัตว์	ความจุ	ผลงาน	ภารกิจ
NVMe หลัก (ระดับ 0/1)	≈ 600 เทราไบต์	≈ 12 กิโลวัตต์	I/O เข้มข้น (Journals/Hot Data)
SAN/NAS (บล็อค/ไฟล์)	≈ 2.5 พีบี	≈ 18 กิโลวัตต์	DB/VM store/editor share
การจัดเก็บวัตถุ (เข้ากันได้กับ S3)	≈ 8 พีบี	≈ 10 กิโลวัตต์	สื่อ, เวอร์ชัน, คลังข้อมูล
ระดับการเก็บถาวร (WORM/Cold)	≈ 20 พีบี	≈ 6 กิโลวัตต์	การจัดเก็บระยะยาว การปฏิบัติตาม

6.3 เครือข่าย/DCI

ส่วนประกอบ	ปริมาณงาน	เทคโนโลยี	หมายเหตุ
อัพลิงค์ผ้า	100/200/400 กิกะบิตต่อวินาที	สันใบ, ECMP	ปรับขนาดได้ในแนวนอน
DCI มานามา—คูเวต	≥ 2× 100 กิกะบิต/วินาที	DWDM/MPLS (ซ้ำซ้อน)	ซิงโครนัส/เกือบซิงโครนัสต่อเวิร์กโหลด
DCI มานามา—สิงคโปร์	≥ 2× 100 กิกะบิต/วินาที	ความซ้ำซ้อนของผู้ให้บริการ	การแคช/สตรีมมิ่งแบบ Edge
แอนนี่คาสต์/DDoS/WAF	ทั่วโลก	การขัดขอบ	การป้องกันและความหน่วงต่ำ

6.4 พลังงาน/ความเย็น

ทรัพยากร	การตีความ	เป้าหมาย	สังเกต
ราง UPS	ห่างออกไป	เอ็น+1	เส้นทางคู่ขนาน
เครื่องกำเนิดไฟฟ้า	เอ็น+1	ดีเซล + ATS	การทดสอบสกีข้ามประเทศทุกไตรมาส
การทำความเย็น	การระบายความร้อนด้วยของเหลว/แบบอิสระ	การปรับปรุง PUE	การกักเก็บทางเดินเย็น/อุ่น
พลังงานแสงอาทิตย์/CHP (ทางเลือก)	ปรับขนาดได้	ความยั่งยืน	การปรับให้เรียบโหลดสูงสุด

โดเมน	การปรับขนาด	วัด	หมายเหตุ
ความจุของ GPU	+50 %	การขยายคลัสเตอร์, ชั้นวางเพิ่มเติม	การขยายแบบโมดูลาร์
การจัดเก็บวัตถุ	+40 %	ส่วนขยายชั้นวาง	ระดับวงจรชีวิต/การเก็บถาวร
ปริมาณงาน DCI	+100 %	คลื่น 100G เพิ่มเติม	จุดสูงสุดของภูมิภาคเอเชียแปซิฟิก/EMEA
ขอบ PoPs	+2–3	เอเชียแปซิฟิก/ยุโรป ตะวันออกกลาง และแอฟริกา	การขยาย Anycast

GPU % +50 ตัว (8×GPU/โหนด, 2U) และ CPU % +30 ตัวใน 12–24 เดือน ความหนาแน่นของแร็คและการระบายความร้อนได้รับการตรวจยืนยันโดยการจำลองความร้อน.

7. ฐานข้อมูลและการส่งข้อความ

OLTP/OLAP เชิงสัมพันธ์, KV/ที่จัดเก็บเอกสาร, ดัชนีการค้นหา, การสตรีม; โมเดลความสอดคล้องและการจำลองแบบซิงก์/อะซิงก์; DNS/แอปพลิเคชันล้มเหลว, PITR, การทดสอบการคืนค่าห้องคลีนรูม.

8. แพลตฟอร์ม AI และปริมาณงานสื่อ

ร้านค้าคุณลักษณะ, การลงทะเบียนโมเดล, ท่อส่งการฝึกอบรมที่ทำซ้ำได้, การอธิบาย/การตรวจสอบ (การดริฟต์/อคติ), การกำกับดูแล.
สื่อ: การแปลงรหัส, DRM, การปรับแต่ง, การแคชแบบเอจ.

ซอฟต์แวร์:

ที่ปรึกษาการอัพเกรด COBOL สำหรับ z/OS: ปรับปรุงแอปพลิเคชันเก่าให้ทันสมัยสำหรับ Enterprise COBOL 6.
การสังเกต Instana สำหรับ Z: ตรวจสอบแอปพลิเคชันและโครงสร้างพื้นฐานแบบเรียลไทม์.
IntelliMagic Vision สำหรับ z/OS: เพิ่มประสิทธิภาพการทำงานของเมนเฟรม.
watsonx Assistant สำหรับ Z: เพิ่มผลผลิตด้วยผู้ช่วย AI.
การดำเนินงาน Z รวม: ลดความซับซ้อนของกระบวนการด้วยระบบอัตโนมัติที่ขับเคลื่อนด้วย AI.
การปรับปรุงแอปพลิเคชัน: เครื่องมือเช่น Application Delivery Foundation สำหรับ z/OS, watsonx Code Assistant สำหรับ Z และ z/OS Connect ช่วยปรับปรุงแอปพลิเคชันและ API ให้ทันสมัย.
ซอฟต์แวร์เพิ่มเติม: CICS (การประมวลผลธุรกรรม), DB2 สำหรับ z/OS (ฐานข้อมูล), IMS (การจัดการธุรกรรม) และ Omegamon (การตรวจสอบ).

z17 มอบรากฐานที่แข็งแกร่งสำหรับการประมวลผลข้อมูลและการรวม AI ในศูนย์ข้อมูล.

9. ความปลอดภัยและการปฏิบัติตามข้อกำหนด

Zero-Trust, MFA/SSO, สิทธิ์ขั้นต่ำ, การเข้ารหัสแบบครบวงจร, ห่วงโซ่อุปทานที่มีการลงนาม (SBOM/SLSA), SIEM/SOAR, สิ่งประดิษฐ์การตรวจสอบ และบันทึกการประมวลผล.

9.1 อุปกรณ์กั้นความปลอดภัยเสริม (จาก „LEGIER DT SEC“)

รูปแบบการดำเนินงานและรอยเท้าทั่วโลก ศูนย์ข้อมูล (เวิร์กโหลด) ดำเนินการในรูปแบบหลายภูมิภาค/หลาย AZ: การผลิตในภูมิภาค A (อย่างน้อย 3 AZ) การทำงานแบบซิงโครนัสในภูมิภาค B (DR/Active-Active ขึ้นอยู่กับ RPO/RTO) LEGIER มอบภูมิภาคและโซนความพร้อมใช้งานที่กระจายอยู่ทั่วโลกซึ่งแยกจากกันทางกายภาพและไม่ขึ้นอยู่กับพลังงาน/ระบบทำความเย็น/เครือข่าย.
„โมเดลความรับผิดชอบร่วมกัน“ LEGIER รับผิดชอบด้านความปลอดภัยของคลาวด์ (สถานที่ตั้งทางกายภาพ ฮาร์ดแวร์ การจำลองเสมือน และบริการหลัก) ลูกค้ารับผิดชอบด้านความปลอดภัยของคลาวด์ (ข้อมูลประจำตัว เครือข่าย ข้อมูล เลเยอร์ระบบปฏิบัติการ/คอนเทนเนอร์/แอปพลิเคชัน) โมเดลนี้กำหนดสถาปัตยกรรม การควบคุม และการตรวจสอบในทุกเลเยอร์.
การรักษาความปลอดภัยทางกายภาพ ระบบควบคุมทางกายภาพแบบหลายชั้น: ขอบเขต (การควบคุมการเข้าถึง การเฝ้าระวัง) ทางเข้าที่ปลอดภัยพร้อมระบบ MFA เซ็นเซอร์/สัญญาณเตือนภัย การบันทึกการเข้า-ออก และการกำหนดโซนที่เข้มงวดภายในอาคาร ระบบควบคุมเหล่านี้ควบคุมและตรวจสอบจากส่วนกลางโดย LEGIER.
การแบ่งส่วนเครือข่ายและการป้องกันขอบเขต การออกแบบ VPC พร้อมการแบ่งเครือข่ายย่อยสาธารณะ/ส่วนตัวตาม AZ, แนวคิดการแยกส่วนตะวันออก/ตะวันตกอย่างเข้มงวด, Security, Groups (แบบมีสถานะ) + NACLs ไฟร์วอลล์เครือข่าย LEGIER ที่มีสถานะเป็นการควบคุมขอบเขต/ทางออก L7 (เช่น ผ่าน Transit Gateway สำหรับการตรวจสอบแบบรวมศูนย์) LEGIER PrivateLink/VPC Endpoints: การเข้าถึง API และบริการพันธมิตรของ LEGIER แบบส่วนตัวโดยไม่ต้องเปิดเผยอินเทอร์เน็ต LEGIER WAF และ LEGIER Shield Advanced ปกป้องจุดสิ้นสุดที่เชื่อมต่อกับอินเทอร์เน็ต (กฎ L7, การป้องกันบอท/DDoS).
การแยกการคำนวณ (LEGIER Nitro) อินสแตนซ์ EC2 ทำงานบนระบบ LEGIER FACE: การแยกการออฟโหลดฮาร์ดแวร์ ("Nitro Cards") ไฮเปอร์ไวเซอร์ Nitro แบบลีนที่ไม่มีการจำลองอุปกรณ์ และชิป Nitro 1TP63 Turity สำหรับการตรวจสอบความสมบูรณ์ ดังนั้นจึงมีผู้เช่าหลายรายที่แข็งแกร่งและลดพื้นที่การโจมตีให้เหลือน้อยที่สุด.
ตัวตน ลูกค้า และสิทธิพิเศษน้อยที่สุด LEGIER องค์กรที่มี SCP ("นโยบายควบคุมบริการ") จะบังคับใช้ขีดจำกัดสิทธิ์สูงสุด (guardrails) สำหรับบัญชีทั้งหมด (โซนปลายทาง) จากส่วนกลาง IAM Identity Center (เดิมคือ SSO) จะผสานรวม IdP ขององค์กร มอบ SSO และการกำหนดรายละเอียดให้กับบัญชี/แอปต่างๆ ขณะที่ ABAC/ขอบเขตสิทธิ์เสริมสิทธิ์ขั้นต่ำ.
ความปลอดภัยของข้อมูลและการเข้ารหัส มาตรฐาน: การเข้ารหัสขณะพัก/ระหว่างการขนส่ง การจัดการคีย์ผ่าน LEGIER KMS เพื่อความยืดหยุ่นทางภูมิศาสตร์ คีย์หลายภูมิภาค (วัสดุคีย์/รหัสคีย์เดียวกันในหลายภูมิภาค – เข้ารหัสในภูมิภาค A และถอดรหัสในภูมิภาค B) CloudHSM แบบออนดีมานด์ (คลัสเตอร์ HSM ที่ลูกค้าเป็นเจ้าของ ตรวจสอบมาตรฐาน FIPS ผู้เช่ารายเดียว) เพื่ออำนาจอธิปไตยของคีย์สูงสุด การควบคุม S3: บล็อกการเข้าถึงสาธารณะ (ระดับบัญชี/บัคเก็ต) ในรูปแบบ "public-by-exception" S3 Object Lock (WORM) เพื่อความไม่เปลี่ยนแปลงและความยืดหยุ่นต่อแรนซัมแวร์ LEGIER LOGS: การตรวจจับ/ตรวจสอบข้อมูลสำคัญที่ขับเคลื่อนด้วย ML (S3) และการผสานรวมกับ 1TP63 Turity Hub.
การตรวจจับ การบันทึก และการจัดการท่าทาง CloudTrail (ครอบคลุมทั้งองค์กร หลายภูมิภาค) สำหรับเหตุการณ์ API/การจัดการ การตรวจสอบที่ราบรื่น และการตรวจสอบทางนิติวิทยาศาสตร์ Amazon GuardDuty (การตรวจจับภัยคุกคามตามบันทึก/รันไทม์), Turity Hub (การเชื่อมโยงผลการค้นพบส่วนกลาง, CIS/แนวปฏิบัติที่ดีที่สุดขั้นพื้นฐาน) สามารถเลือก Macie/Inspector/Detective เป็นแหล่งสัญญาณได้.
การสำรองข้อมูล, DR และความไม่เปลี่ยนแปลง การสำรองข้อมูล LEGIER พร้อมสำเนาข้ามภูมิภาคและข้ามบัญชี นโยบายรวมศูนย์ผ่านองค์กร ใช้ร่วมกับ S3 Object Lock สำหรับการสำรองข้อมูล WORM รุ่นปฏิบัติการ: Pilot-Light, Warm-Standby หรือ Active-Active การใช้บริการ Multi-AZ (RDS/Aurora, EKS, MSK) และ Failover Route 53.
แนวทางการกำกับดูแลและสถาปัตยกรรม LEGIER Well-Architected – เสาหลัก Security เป็นข้อมูลอ้างอิง (หลักการออกแบบ ระบบควบคุม ระบบอัตโนมัติ) การปฏิบัติตามข้อกำหนด: ครอบคลุมอย่างกว้างขวาง (รวมถึง ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP และอื่นๆ) LEGIER Artifact มอบหลักฐาน SOC/ISO ตามความต้องการสำหรับการตรวจสอบ.

ตัวอย่างบลูพริ้นท์ (Zero-Trust และความปลอดภัยหลายชั้น)

โซนการลงจอดหลายบัญชี (Prod/Non-Prod/Security/Log-Archive) + การป้องกัน SCP (เช่น ภูมิภาค/บริการที่ต้องห้าม การบังคับใช้ CloudTrail และ KMS).
เครือข่าย: ฮับกลาง VPC พร้อมเกตเวย์การขนส่ง, การตรวจสอบไฟร์วอลล์เครือข่าย VPC, จุดสิ้นสุดอินเทอร์เฟซ/ลิงก์ส่วนตัวไปยัง S3, STS, KMS, ECR, Secrets Manager; ไม่มีเส้นทางสาธารณะขาออกจากซับเน็ตส่วนตัว.
การคำนวณ/คอนเทนเนอร์: EC2/EKS บน Nitro; บังคับใช้ IMDSv2; มีบทบาท IAM ที่จำเป็นเท่านั้น (สิทธิ์น้อยที่สุด) Secrets ใน Secrets Manager/SSM Parameter Store.
ข้อมูล: S3 พร้อมการเข้าถึงสาธารณะแบบบล็อก, การเข้ารหัสเริ่มต้น (SSE-KMS), การล็อควัตถุ (โหมดการปฏิบัติตามหรือการกำกับดูแล), Macie สำหรับการตรวจจับ PII.
Edge/แอป: ALB/NLB อยู่เบื้องหลัง WAF และ Shield Advanced, การยุติ/นโยบาย TLS จัดการผ่าน ACM; การเข้าถึง API ควรจะเป็นส่วนตัวผ่าน PrivateLink.
การตรวจจับและการตรวจสอบ: CloudTrail ทั่วทั้งองค์กร + ถังบันทึก S3 (WORM), บันทึกการไหลของ GuardDuty/VPC/บันทึกตัวแก้ไขปัญหา Route 53, Security Hub เป็นแดชบอร์ดกลางและการรวมตั๋ว.
การสำรองข้อมูล/DR: นโยบายในการสำรองข้อมูล LEGIER พร้อมสำเนาข้ามภูมิภาคและข้ามบัญชี; คีย์หลายภูมิภาค KMS เพื่อความยืดหยุ่นของคีย์.

10. ความยืดหยุ่นทางไซเบอร์ การสำรองข้อมูล และการกู้คืน

การสำรองข้อมูลข้ามภูมิภาค/ข้ามบัญชีพร้อมสำเนาที่ไม่เปลี่ยนแปลง (Object Lock/WORM), การกู้คืนข้อมูลการฝึกซ้อมในห้องคลีนรูม, โปรไฟล์ RTO/RPO, รันบุ๊ก (ไฟนำร่อง, สแตนด์บายอุ่น, แอคทีฟ-แอคทีฟ) เป้าหมาย: RPO ≤ 15 นาที, RTO ≤ 60 นาที.

11. การสังเกตและการทำงานอัตโนมัติ

การวัดระยะไกลแบบรวมศูนย์ (บันทึก/เมตริก/การติดตาม) การเชื่อมโยงและคู่มือ SOAR การติดตาม SLO งบประมาณข้อผิดพลาด วันเกม และการฝึกซ้อมความโกลาหลเพื่อลด MTTD/MTTR.

12. พลังงาน ความเย็น และความยั่งยืน

เครื่องป้อนคู่, UPS A/B, เครื่องกำเนิดไฟฟ้า N+1, การกักเก็บ, การระบายความร้อนด้วยของเหลว/อะเดียแบติก/อิสระ, การกู้คืนความร้อน, ตัวเลือกพลังงานหมุนเวียน; PUE เป็น KPI ของประสิทธิภาพ.

13. รายการชั้นวาง

13.1 มานามา – คอร์แร็คส์

คุณ	อุปกรณ์	ประเภท/รุ่น	ตัวเลข	สายส่ง (A/B)	กำลังสูงสุด [W]
42	แผงแพทช์ A	แอลซี/แอลซี 144เอฟ	1	เอ	-
41	แผงแพทช์ B	แอลซี/แอลซี 144เอฟ	1	บี	-
40	กระดูกสันหลัง 1	สวิตช์ 40/100G 1U	1	เอ	600
39	กระดูกสันหลัง 2	สวิตช์ 40/100G 1U	1	บี	600
38	สวิตช์การจัดการ	1G/10G 1U	1	เอ	120
37–30	หน้า 1–8	25/100G ถึง 1U	8	ห่างออกไป	8× 450
29–28	คลัสเตอร์ไฟร์วอลล์	เอ็นจีเอฟดับบลิว 2ยู	2	ห่างออกไป	2× 800
27	ไอดีเอส/ไอพีเอส	1ยู	1	เอ	200
26	ขอบ DDoS	1ยู	1	บี	200
25–24	ตัวปรับสมดุลการโหลด	2× 1ยู	2	ห่างออกไป	2× 250

A-01: เครือข่ายหลัก (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: การคำนวณ/GPU (การฝึกอบรม/การอนุมาน) โหนด CPU การจัดการ/KVM A-03: ที่เก็บข้อมูล (ตัวควบคุม ชั้นวาง เกตเวย์สำรองข้อมูล)

13.2 คูเวตซิตี้ – AZ แร็คส์

คุณ	อุปกรณ์	ประเภท/รุ่น	ตัวเลข	สายส่ง (A/B)	กำลังสูงสุด [W]
42–41	แผงแพทช์ A/B	-	2	ห่างออกไป	-
40–25	เซิร์ฟเวอร์ซีพียู	1ยู	12	ห่างออกไป	12×400
24–17	เซิร์ฟเวอร์ GPU (DR)	2U	4	ห่างออกไป	4× 2000
16–15	การจัดการ/KVM	1ยู	2	ห่างออกไป	2× 80

K-01: AZ-Network/Leaf, ไฟร์วอลล์, LB K-02: การคำนวณ/DR K-03: วัตถุ/การสำรองข้อมูล (WORM/ไม่เปลี่ยนแปลง)

13.3 สิงคโปร์ – เอจ แร็ค

คุณ	อุปกรณ์	ประเภท/รุ่น	ตัวเลข	สายส่ง (A/B)	กำลังสูงสุด [W]
42	แผงแพทช์	-	1	ห่างออกไป	-
41–40	เราเตอร์ขอบ	1ยู	2	ห่างออกไป	2× 250
39–38	สวิตช์ขอบ	1ยู	2	ห่างออกไป	2× 200
37–34	โหนดแคช/พร็อกซี	1ยู	4	ห่างออกไป	4× 350
33–32	อุปกรณ์ WAF/DDoS	1ยู	2	ห่างออกไป	2× 300
31–28	เกตเวย์สตรีม	1ยู	4	ห่างออกไป	4× 300

S-01: เราเตอร์/สวิตช์ Edge, แคช/พร็อกซี, WAF/DDoS, เกตเวย์สตรีม

14. เป้าหมาย SLA และ KPI

โดเมน	ค่าเป้าหมาย	หมายเหตุ
ความพร้อมใช้งาน	≥ 99.999 %	โซนซ้ำซ้อน, การสำรองข้อมูลอัตโนมัติ
อาร์พีโอ	≤ 15 นาที	การบันทึก การจำลอง และสแน็ปช็อต
กรมการขนส่งทางบก	≤ 60 นาที	Runbooks การกู้คืนเป็นรหัส
ความปลอดภัย	MTTD < 5 นาที, MTTR < 60 นาที.	การตรวจจับความผิดปกติ, คู่มือ SOAR
ประสิทธิภาพ	การเพิ่มประสิทธิภาพ PUE	ระบบระบายความร้อนด้วยของเหลว ระบายความร้อนแบบอิสระ

ความพร้อมใช้งาน ≥ 99,999 %, MTTD < 5 นาที, MTTR < 60 นาที, RPO ≤ 15 นาที, RTO ≤ 60 นาที; การตรวจสอบ/ตรวจสอบรายไตรมาส มุมมองเชิงตรรกะของผู้ใช้/พันธมิตรผ่าน Edge (สิงคโปร์) และ DCI ไปยัง Core Fabric (มานามา) และแพลตฟอร์มข้อมูล พร้อมการจำลองข้อมูลไปยังเมืองคูเวตซิตี รัฐแอริโซนา.

15. แผนงาน (12–24 เดือน)

บาห์เรน คูเวต และสิงคโปร์เสนอข้อได้เปรียบเชิงกลยุทธ์สำหรับศูนย์ข้อมูล โซนความพร้อมใช้งาน Data และตำแหน่งขอบ:

ที่ตั้งทางภูมิศาสตร์: ตั้งอยู่ในทำเลใจกลางระหว่างยุโรป เอเชีย และแอฟริกา เหมาะสำหรับการเชื่อมต่อทั่วโลก.
ความเป็นมิตรต่อธุรกิจ: ไม่มีภาษีนิติบุคคลและการเป็นเจ้าของชาวต่างชาติ 100 % ส่งเสริมการลงทุน.
การสนับสนุนด้านกฎระเบียบ: TRA และคณะกรรมการพัฒนาเศรษฐกิจ (EDB) เสนอแรงจูงใจ เช่น ใบอนุญาตทองคำ.
โครงสร้างพื้นฐาน: การเชื่อมต่อพลังงานและเครือข่ายขั้นสูงและแรงงานที่มีทักษะ.
ความเสถียร: เนื่องจากเป็นศูนย์กลางทางการเงิน (บาห์เรนและคูเวต) ในตะวันออกกลางและเอเชีย (สิงคโปร์) สถานที่เหล่านี้จึงให้ความมั่นคงทางการเมืองและเศรษฐกิจ.

คุณสมบัติของ IBM z17:

โปรเซสเซอร์ Telum® II: ให้พลังการประมวลผลสูงและการเร่งความเร็ว AI บนชิปสำหรับการดำเนินการอนุมานแบบเรียลไทม์ เช่น การวิเคราะห์ข้อมูลของผู้อ่าน.
ตัวเร่งความเร็ว Spyre™: เพิ่มพลังการประมวลผล AI สำหรับโมเดลกำเนิดและวิธีการหลายโมเดล.
ความปลอดภัย: การเข้ารหัสบนฮาร์ดแวร์และโคโปรเซสเซอร์เข้ารหัส PCIe ช่วยปกป้องข้อมูลที่ละเอียดอ่อน.
ความยืดหยุ่น: ฟังก์ชั่นที่ผสานรวมช่วยให้มั่นใจถึงความพร้อมใช้งานอย่างต่อเนื่อง.

การจัดเก็บข้อมูล LEGIER:

กลุ่มสื่อ LEGIER ใช้บริการโฮสต์ไฟล์ที่สามารถจัดเก็บข้อมูลจำนวนมากได้ การเข้าถึงทำได้ผ่าน HTTP/HTTPS โดยใช้แนวคิดของบัคเก็ตและอ็อบเจ็กต์ ซึ่งคล้ายกับไดเรกทอรีและไฟล์ และได้กลายเป็นมาตรฐานที่กำหนดขึ้น LEGIER ร่วมมือกับ AWS โดยใช้ไดรฟ์เครือข่าย Elastic File System และการเก็บถาวรไฟล์ Glacier เพื่อให้ได้ความทนทานของข้อมูล 99.999999999% ข้อได้เปรียบของกลุ่มสื่อ LEGIER คือการใช้ Elastic Block Store (EBS) และพื้นที่จัดเก็บข้อมูลระดับบล็อก ซึ่งสามารถเชื่อมต่ออินสแตนซ์ EC2 ได้ ข้อได้เปรียบของเทคโนโลยีนี้คือการถ่ายโอนข้อมูลจำนวนมากด้วยบริการ สโนว์บอล พื้นที่จัดเก็บข้อมูลบนฮาร์ดดิสก์ ซึ่งสามารถคัดลอกและส่งคืนข้อมูลจำนวนมากผ่านบริการพัสดุ ส่งผลให้การถ่ายโอนข้อมูลปริมาณมากไปยังหนังสือพิมพ์รายวัน 115 ฉบับของบริษัท (บทความ รูปภาพ วิดีโอ และสตรีมสด) รวดเร็วขึ้นอย่างมาก และจัดเก็บไว้ในฐานข้อมูล (ไม่ว่าจะเป็น SimpleDB หรือ Relational Database Service) การขยาย GPU/Object/DCI/Edge การขยาย Anycast การเสริมความแข็งแกร่งให้กับห่วงโซ่อุปทาน (SLSA) การปฏิบัติตามข้อกำหนดอัตโนมัติ การฝึกความยืดหยุ่น/การรีสตาร์ทเป็นประจำ.