SCANDIC DATA

LEGIER ЦЕНТР СУДУ: Манама (Бахрейн) - Data Зона доступності: м. Кувейт - Крайове розташування: Сінгапур (KDDI Asia Pacific)

Зміст

Частіше Sky Look1. Короткий зміст

У "The LEGIER GROUP управляє багаторівневою екосистемою Datacentre з центрами в Манамі (ядро), Кувейті (Арабські Емірати) та Сінгапурі (периферія). Вона пропонує окремі, але інтегровані рівні для мережі, обчислень, зберігання, даних, штучного інтелекту та безпеки. Цілі: Висока доступність, безпека Zero-Trust, низька затримка та демонстрація відповідності. За погодженням з Регуляторний орган у сфері телекомунікацій (TRA) У Бахрейні центр обробки даних LEGIER використовує найсучасніші технології, зокрема власні компоненти штучного інтелекту, Darktrace-рішення для безпеки та Мейнфрейм IBM-технології для забезпечення надійної, масштабованої та безпечної платформи. Бахрейн і Кувейт пропонують конкретні переваги розташування, які оптимізують роботу. Керівні принципи:
  • Privacy-First (KMS/HSM)
  • Стійкість до різних зон/регіонів
  • Резервне копіювання перехресних рахунків
  • GitOps/IaC з підписаними артефактами
  • Робота SRE з SLO та автоматизацією (SOAR)
Центр обробки даних у Манамі спроектований таким чином, щоб задовольнити високі вимоги глобальної медіа-компанії:
  1. Висока доступність: Час безвідмовної роботи % - 99,999 годин - досягається завдяки системам резервування, таким як подвійні джерела живлення, резервні генератори та дзеркальне обладнання, що забезпечує безперервне виробництво повідомлень.
  2. Масштабованість: Інфраструктуру можна гнучко розширювати, щоб впоратися зі зростаючими обсягами даних та обчислювальними вимогами, що є важливим для виробництва дев'ятьма мовами по всьому світу.
  3. Обробка та зберігання даних: Мільйони текстових, графічних і відеоданих обробляються та зберігаються в режимі реального часу. Швидкі твердотільні накопичувачі та надійна мережа зберігання даних (SAN) забезпечують ефективність.
  4. Підтримка штучного інтелекту: Потужні графічні та обчислювальні процесори підтримують складні робочі навантаження ШІ, такі як аналіз контенту та переклад.
  5. Кібербезпека: Конфіденційні дані потребують розширеного захисту, який забезпечується Darktrace-технологій.

Варіанти використання ШІ

 
  1. Контент-аналіз:
    • Технології: Глибоке навчання та обробка природної мови (NLP) за допомогою таких моделей, як BERT, аналізують тексти, класифікують контент і витягують релевантну інформацію.
    • Бенефіс: Прискорює обробку повідомлень і підвищує точність, наприклад, при розпізнаванні тенденцій або ключових тем.
  3. Системи рекомендацій:
    • Технології: Машинне навчання за допомогою спільної фільтрації та нейронних мереж персоналізує контент для читачів.
    • Бенефіс: Підвищує лояльність користувачів завдяки індивідуальним рекомендаціям для читання, наприклад, для регіонального або мовного контенту.
  4. Автоматизована звітність:
    • Технології: Генеративні моделі ШІ, такі як GPT, створюють рутинні звіти, наприклад, про погоду або спортивні результати.
    • Бенефіс: Звільняє редакторів, які можуть зосередитися на журналістських розслідуваннях або складному аналізі.
  5. Переклади в режимі реального часу:
    • Технології: Інструменти штучного інтелекту, такі як DeepL або наші власні моделі, перекладають контент дев'ятьма мовами в режимі реального часу.
    • Бенефіс: Дозволяє негайно публікувати світові новини, що є ключовою перевагою для 115 газет.
  6. Розпізнавання зображень і відео:
    • Технології: Згорткові нейронні мережі (CNN) автоматично позначають та оцінюють візуальний контент.
    • Бенефіс: Прискорює публікацію мультимедійного контенту завдяки автоматизованому створенню метаданих.

2. розташування та топологія

2.1 Манама (Бахрейн) - Основний регіон

Централізоване управління/оркестрування, кластери GPU/CPU, об'єктні рівні, SIEM/SOAR/KMS/PKI, DNS/каталог, сховища артефактів (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF розділення.

2.2 Зона доступності Data (AZ) Місто Кувейт

Географічна стійкість/роз'єднання; профілі реплікації для кожного класу даних (синхронні/майже синхронні/асинхронні); ізольовані домени помилок, виділені точки виходу, масштабування IAM, можливості DR (Pilot-Light-Active-Active-Active).

2.3 Передове розташування Сінгапур (KDDI Asia Pacific)

Прикордонний PoP з нейтральною для оператора мережею (CDN/кешування, WAF/DDoS, потокове передавання даних). Основні дані через безпечну реплікацію; мета: мінімальна затримка APAC без публічного маршруту в чутливих підмережах.

3. архітектура мережі та міжмережевих з'єднань

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Манама-Кувейт-Сінгапур через DWDM/MPLS, QoS для реплікації/резервування, моніторинг затримок/джиттера з динамічним вибором шляху. Периметр: NGFW, перевірка L7, фільтрація DNS, білі списки на виході. Ізоляція Схід/Захід: VRF/VXLAN, SG/NACL, mTLS, JIT доступ.

4. рівень обчислень, віртуалізації та контейнерів

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), оркестрування ВМ, GPU-вузли (змішаної точності), IMDSv2, підписані зображення (Cosign), перевірка SBOM, контролер допуску, seccomp/AppArmor. Secrets з бекендом KMS. Клієнти: Простори імен/проекти, ABAC/RBAC, межі дозволів, мережеві політики за замовчуванням, Service Mesh mTLS, Anti-Affinity.

5. платформи для зберігання та обробки даних

NVMe флеш для низької латентності, SAN/NAS для сховищ VM/DB, сховище об'єктів S3 з версіонуванням, життєвим циклом, WORM і реплікацією Манама↔Кувейт; крайові кеші в Сінгапурі для медіа. Стандарти: Блокування публічного доступу, заборона за замовчуванням, шифрування на стороні клієнта/сервера (KMS/HSM), запис в журнал, спільний доступ за виключенням.

6. планування потенціалу

6.1 Обчислення

Ресурс Кількість Бюджет обслуговування на одиницю Всього Зауваження
IBM z17 (корпус мейнфрейма) 1 кадр н/д н/д Висновок транзакцій/ШІ поблизу основних систем
GPU-сервер (2U, 8× GPU) 24 вузла 2 кВт ≈ 48 кВт Навчання/висновки, зображення/відео/NLP
Процесорні обчислення (1U) 80 вузлів 0,4 кВт ≈ 32 кВт Веб/Мікросервіси/K8s Worker
Прилади TPU/AI 8 Прилади 1,2 кВт ≈ 9,6 кВт Спеціалізовані робочі навантаження ШІ

6.2 Пам'ять

Тварина Ємність Продуктивність Використання
Основний NVMe (рівень 0/1) ≈ 600 ТБ ≈ 12 кВт Інтенсивний ввід/вивід (Journals/Hot Data)
SAN/NAS (блок/файл) ≈ 2.5 PB ≈ 18 кВт Сховища БД/ВМ/редакційні ресурси
Об'єктна пам'ять (S3-сумісна) ≈ 8 PB ≈ 10 кВт Медіа, версії, архіви
Архівний рівень (WORM/Cold) ≈ 20 PB ≈ 6 кВт Довготривале зберігання, відповідність вимогам

6.3 Мережа / DCI

Компонент Пропускна здатність Технологія Зауваження
Тканинні аплінки 100/200/400 Гбіт/с Spine-Leaf, ECMP Горизонтально масштабований
DCI Манама-Кувейт ≥ 2× 100 Гбіт/с DWDM/MPLS (з резервуванням) Синхронний/майже синхронний за робочим навантаженням
DCI Манама-Сінгапур ≥ 2× 100 Гбіт/с Резервування провайдера Граничне кешування/потокове передавання
Anycast/DDoS/WAF Глобальний Зачистка країв Захист і низька затримка

6.4 Енергія/охолодження

Ресурс Усний переклад Мета Підказка
Рейки ДБЖ A/B N+1 Подвійні шляхи
Генератори N+1 Дизель + ATS Щоквартальні тести на пересіченій місцевості
Охолодження Рідинне / природне охолодження Удосконалення ПУЕ Ізоляція холодного/гарячого проходу
Сонячна енергія/ТЕЦ (за бажанням) Масштабований Сталий розвиток Згладжування пікових навантажень
Домен Масштабування Вимірювання Зауваження
Потужність графічного процесора +50 % Розширення кластера, додаткові стійки Модульне розширення
Пам'ять об'єктів +40 % Подовжувачі полиць Життєвий цикл/архівна тварина
Пропускна здатність DCI +100 % додаткові хвилі 100G Піки APAC/EMEA
Крайні точки доступу +2-3 APAC/EMEA Розширення Anycast
+50 % GPU (8×GPU/вузол, 2U) і +30 % CPU за 12-24 місяці; щільність стійки та охолодження підтверджені тепловим моделюванням.

SCANDIC DATA

7. бази даних та обмін повідомленнями

Реляційні OLTP/OLAP, KV/сховища документів, пошукові індекси, потокове передавання; моделі узгодженості та синхронна/асинхронна реплікація; DNS/app failover, PITR, тести на відновлення в чистій кімнаті.

8 Робочі навантаження платформи ШІ та медіа

  • Сховище характеристик, реєстр моделей, відтворювані навчальні конвеєри, пояснюваність/моніторинг (дрейф/упередженість), управління.
  • Медіа: перекодування, DRM, персоналізація, крайове кешування.
Програмне забезпечення:  
  • COBOL Upgrade Advisor для z/OS: Модернізує застарілі програми для Enterprise COBOL 6.
  • Спостережність Instana для Z: Моніторинг додатків та інфраструктури в режимі реального часу.
  • IntelliMagic Vision для z/OS: Оптимізує продуктивність мейнфреймів.
  • watsonx Assistant для Z: Підвищує продуктивність за допомогою ШІ-помічника.
  • Операція "Z" об'єднує: Спрощує процеси завдяки автоматизації з підтримкою ШІ.
  • Модернізація додатків: Такі інструменти, як Application Delivery Foundation для z/OS, watsonx Code Assistant для Z та z/OS Connect модернізують додатки та API.
  • Інше програмне забезпечення: CICS (обробка транзакцій), DB2 для z/OS (база даних), IMS (управління транзакціями) та Omegamon (моніторинг).
Z17 є надійною основою для обробки даних та інтеграції ШІ в центрі обробки даних.

9. безпека та комплаєнс

Zero-Trust, MFA/SSO, найменші привілеї, наскрізне шифрування, підписаний ланцюжок постачання (SBOM/SLSA), SIEM/SOAR, артефакти аудиту та записи обробки.

9.1 Додаткові захисні бар'єри безпеки (від „LEGIER DT SEC“)

  1. Операційна модель та глобальний вплив Центр обробки даних (робочі навантаження) експлуатується на основі мультирегіону / мультиАЗ: Виробництво в регіоні A (щонайменше 3 AZ), синхронізована робота в регіоні B (DR/Active-Active залежно від RPO/RTO). LEGIER забезпечує глобально розподілені регіони та зони доступності, які фізично відокремлені та незалежні з точки зору живлення/охолодження/мережі.
  2. „Модель спільної відповідальності“ LEGIER відповідає за безпеку хмари (фізичне розташування, обладнання, віртуалізація, основні послуги). Клієнти відповідають за безпеку в хмарі (ідентичності, мережа, дані, рівень ОС/контейнерів/додатків). Ця модель визначає архітектуру, контроль та аудит на всіх рівнях.
  3. Фізична безпека Багаторівневий фізичний контроль: Периметр (контроль доступу, моніторинг), захищені входи з МЗС, датчики/сигналізація, реєстрація доступу, суворе зонування будівлі. Ці засоби контролю управляються і перевіряються централізовано за допомогою LEGIER.
  4. Сегментація мережі та захист периметра Конструкція VPC з публічною/приватною підмережею на кожну AZ, сувора концепція ізоляції зі сходу на захід, Security, Groups (з підтримкою стану) + NACL. LEGIER Мережевий брандмауер з функцією контролю периметра/входу L7 (наприклад, через центральну перевірку транзитного шлюзу). Кінцеві точки LEGIER PrivateLink/VPC: приватний доступ до API інтерфейсів LEGIER та партнерських сервісів без виходу в Інтернет. LEGIER WAF та LEGIER Shield Advanced перед кінцевими точками, що виходять в Інтернет (правила L7, захист від ботів/DDoS).
  5. Обчислювальна ізоляція (LEGIER Nitro) Екземпляри EC2 працюють на системі LEGIER FACE: розділення апаратних навантажень („Nitro Cards“), тонкий гіпервізор Nitro без емуляції пристроїв, чіп Nitro Security для перевірки цілісності; таким чином, сильне розділення клієнтів і мінімізація поверхні атаки.
  6. Ідентифікація, клієнти та найменші привілеї LEGIER Організації з SCP („Політиками контролю послуг“) централізовано застосовують максимальні межі повноважень (бар'єри) для всіх облікових записів (посадочна зона). IAM Identity Centre (раніше SSO) інтегрує IdP компанії, пропонує SSO та детальне призначення облікових записів/додатків; ABAC/межі дозволів доповнюють Least-Privilege.
  7. Безпека даних та криптографія Стандартно: шифрування на місці/в дорозі. Управління ключами через LEGIER KMS для геостійких міжрегіональних ключів (той самий матеріал ключа/ідентифікатор ключа в декількох регіонах - шифрування в регіоні А, дешифрування в регіоні В). CloudHSM, якщо потрібно (кластери HSM, що належать клієнту, підтверджені FIPS, один орендар) для максимального суверенітету ключів. Контроль S3: Блокування публічного доступу (на рівні облікового запису / кошика) як „публічний за винятком“, блокування об'єктів S3 (WORM) для незмінності та стійкості до програм-вимагачів. LEGIER LOGS: Виявлення/моніторинг конфіденційних даних з підтримкою ML (S3) та інтеграція в Security Hub.
  8. Розпізнавання, реєстрація та керування положенням LEGIER CloudTrail (для всієї організації, мультирегіональний) для подій API/управління, безперебійного аудиту та криміналістики. Amazon GuardDuty (виявлення загроз на основі журналів/виконання), LEGIER Security Hub (централізована кореляція результатів, кращі практики СНД/Фундації), додаткові Macie/Inspector/Detective в якості джерел сигналів.
  9. Резервне копіювання, аварійне відновлення та незмінність Резервне копіювання LEGIER з міжрегіональними та міжрахунковими копіями; політики централізовано через організації; комбінація з S3 Object Lock для резервного копіювання WORM. Моделі роботи: Pilot-Light, Warm-Standby або Active-Active; використання мультиАЗ-сервісів (RDS/Aurora, EKS, MSK) та відмовостійкість за маршрутом 53.
  10. Управління та архітектурні огорожі LEGIER Well-Architected - Sec Security Pillar як еталон (принципи проектування, контроль, автоматизація). Відповідність: широке охоплення (включаючи ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact надає докази SOC/ISO на вимогу для аудитів.

Приклад плану (Zero-Trust та багаторівневий захист)

  • Зона приземлення з декількома обліковими записами (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (наприклад, заборонені регіони/сервіси, примусове використання CloudTrail та KMS).
  • Мережа: Центральний концентратор VPC з транзитним шлюзом, мережевий брандмауер VPC, інтерфейсні кінцеві точки/приватний зв'язок з S3, STS, KMS, ECR, Secrets Manager; немає вихідних публічних маршрутів з приватних підмереж.
  • Обчислення/контейнер: EC2/EKS на Nitro; IMDSv2 примусово; тільки необхідні ролі IAM (найменші привілеї), Secrets в Secrets Manager/SSM Parameter Store.
  • Дані: S3 з блокуванням публічного доступу, шифруванням за замовчуванням (SSE-KMS), блокуванням об'єкта (режим відповідності або управління), Macie для виявлення PII.
  • Edge/Додатки: ALB/NLB за WAF та Shield Advanced, TLS-термінації/політики, керовані через ACM; доступ до API бажано приватний через PrivateLink.
  • Виявлення та аудит: загальноорганізаційний CloudTrail + S3 log bucket (WORM), журнали потоків GuardDuty/VPC/журнали resolver route 53, Security Hub як центральна інформаційна панель та інтеграція квитків.
  • Резервне копіювання/відновлення: політики в LEGIER Backup з міжрегіональними та міжобліковими копіями; мультирегіональні ключі KMS для стійкості ключів.

10. кіберстійкість, резервне копіювання та відновлення

Резервне копіювання між регіонами/обліковими записами з незмінними копіями (блокування об'єкта/WORM), відновлення тренувань в чистій кімнаті, профілі RTO/RPO, прогонові книги (пілотне світло, теплий режим очікування, активний-активний). Ціль: RPO ≤ 15 хв, RTO ≤ 60 хв.

11. спостережливість та операційна автоматизація

Центральна телеметрія (логи/метрики/траси), кореляція та плейбуки SOAR, відстеження SLO, бюджети помилок, ігрові дні та хаотичні тренування для зменшення MTTD/MTTR.

SCANDIC DATA

12. енергія, охолодження та сталий розвиток

Подвійне живлення, ДБЖ A/B, генератори N+1, ізоляція, рідинне/адіабатичне/безповітряне охолодження, рекуперація тепла, варіанти з відновлюваними джерелами енергії; PUE як ключовий показник ефективності.

13. стелажні списки

13.1 Манама - Стійки для активної зони

U Пристрій Тип/Модель Кількість Лінія живлення (A/B) Максимальна потужність [Вт]
42 Комутаційна панель A LC/LC 144F 1 A -
41 Комутаційна панель B LC/LC 144F 1 B -
40 Хребет 1 Комутатор 40/100G 1U 1 A 600
39 Хребет 2 Комутатор 40/100G 1U 1 B 600
38 Mgmt-Switch 1G/10G 1U 1 A 120
37-30 Листок 1-8 25/100G ТЗ 1U 8 A/B 8× 450
29-28 Кластер брандмауерів NGFW 2U 2 A/B 2× 800
27 IDS/IPS 1U 1 A 200
26 DDoS Edge 1U 1 B 200
25-24 Балансир навантаження 2× 1U 2 A/B 2× 250
A-01: Основна мережа (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Обчислювальні/процесорні (навчання/висновки), процесорні вузли, Mgmt/KVM A-03: Сховище (контролери, стелажі, резервні шлюзи)

13.2 Місто Кувейт - AZ-Racks

U Пристрій Тип/Модель Кількість Лінія живлення (A/B) Максимальна потужність [Вт]
42-41 Комутаційна панель A/B - 2 A/B -
40-25 Процесорний сервер 1U 12 A/B 12× 400
24-17 Сервер GPU (DR) 2U 4 A/B 4× 2000
16-15 Mgmt/KVM 1U 2 A/B 2× 80
K-01: Мережа AZ/ліст, брандмауери, LB K-02: Обчислювальна техніка/ДР K-03: Об'єкт / резервне копіювання (WORM / незмінний)

13.3 Сінгапур - Крайня стійка

U Пристрій Тип/Модель Кількість Лінія живлення (A/B) Максимальна потужність [Вт]
42 Комутаційна панель - 1 A/B -
41-40 Граничний маршрутизатор 1U 2 A/B 2× 250
39-38 Граничний перемикач 1U 2 A/B 2× 200
37-34 Кеш/проксі-вузли 1U 4 A/B 4× 350
33-32 Пристрій WAF/DDoS 1U 2 A/B 2× 300
31-28 Шлюз потоку 1U 4 A/B 4× 300
S-01: Граничні маршрутизатори/комутатори, кеш/проксі, WAF/DDoS, потокові шлюзи

14 цільових значень SLA та KPI

Домен Цільове значення Зауваження
Доступність ≥ 99.999 % Резервні зони, автоматичне перемикання на інший ресурс
RPO ≤ 15 хвилин Журналювання, реплікація, знімки
RTO ≤ 60 хвилин Runbooks, Recovery-as-Code
Безпека MTTD < 5 хв, MTTR < 60 хв. Виявлення аномалій, плейлисти SOAR
Ефективність Оптимізація ПУЕ Рідинне охолодження, природне охолодження
Доступність ≥ 99,999 %, MTTD < 5 хв, MTTR < 60 хв, RPO ≤ 15 хв, RTO ≤ 60 хв; щоквартальні огляди/аудити. Логічне представлення користувачів/партнерів через Edge (Сінгапур) та DCI до основної структури (Манама) та платформ даних, з реплікацією до AZ Кувейт.

 SCANDIC DATA

15. дорожня карта (12-24 місяці)

Бахрейн і Кувейт, а також Сінгапур мають стратегічні переваги для розміщення центру обробки даних, зони доступності Data та периферійного розташування:
  • Географічне розташування: Розташований між Європою, Азією та Африкою, ідеально підходить для глобального зв'язку.
  • Ділова доброзичливість: Відсутність корпоративних податків та 100 % іноземна власність заохочують інвестиції.
  • Регуляторна підтримка: TRA та Рада економічного розвитку (EDB) пропонують такі стимули, як "Золота ліцензія".
  • Інфраструктура: Складні енергетичні та мережеві з'єднання, а також кваліфікована робоча сила.
  • Стабільність: Як фінансові центри (Бахрейн і Кувейт) на Близькому Сході та в Азії (Сінгапур), ці місця забезпечують політичну та економічну безпеку.

Особливості IBM z17:

  • Процесор Telum® II: Пропонує високу обчислювальну потужність і прискорення ШІ на кристалі для операцій виведення в реальному часі, наприклад, для аналізу даних зчитування.
  • Прискорювач Spyre™: Збільшує обчислювальну потужність ШІ для генеративних моделей і багатомодельних методів.
  • Охорона: Апаратне шифрування та криптографічний співпроцесор PCIe захищають конфіденційні дані.
  • Стійкість: Інтегровані функції забезпечують постійну доступність.

Пам'ять даних LEGIER:

Медіа-група LEGIER використовує послугу файлового хостингу, що дозволяє зберігати великі обсяги даних, доступ до яких здійснюється через HTTP/HTTPS і використовує концепцію відер та об'єктів, які схожі на каталоги та файли, що стали стандартними. Тут LEGIER працює разом з AWS, використовуючи мережеві диски Elastic File System та архівацію файлів Glacier для досягнення „99.999999999“ відсотків довговічності даних. Перевагою медіа-групи LEGIER є використання Elastic Block Store (EBS) та зберігання на рівні блоків, до яких можна підключати екземпляри EC2. Перевагою цієї технології є передача великих обсягів даних за допомогою сервісу Сніжок. Сховище на жорсткому диску, на яке можна копіювати великі обсяги даних і відправляти їх назад посилковою службою, завдяки чому передача дуже великих обсягів даних у власну 115 щоденну газету (статті, зображення, відео, прямі трансляції) відбувається набагато швидше, а також зберігання в базах даних (SimpleDB або Relational Database Service). Масштабування GPU/об'єкта/DCI/краю, розширення anycast, зміцнення ланцюжка поставок (SLSA), автоматизація дотримання нормативних вимог, регулярні вправи на відмовостійкість/перезапуск.