РЕЄСТРАЦІЙНИЙ ЦЕНТР: Манама (Бахрейн) - Зона доступності даних: м. Кувейт - Крайове розташування: Сінгапур (KDDI Asia Pacific)

Зміст

Частіше Sky Look1. Короткий зміст

У "The LEGIER GROUP управляє багаторівневою екосистемою дата-центрів у Манамі (ядро), Кувейті (Арабські Емірати) та Сінгапурі (периферія). Він пропонує окремі, але інтегровані рівні для мережі, обчислень, зберігання, даних, штучного інтелекту та безпеки.

Цілі: Висока доступність, безпека з нульовою довірою, низька затримка та демонстрація відповідності.

З дозволу Регуляторний орган у сфері телекомунікацій (TRA) У Бахрейні центр обробки даних LEGIER використовує найсучасніші технології, зокрема власні компоненти штучного інтелекту, Darktrace-рішення для безпеки та Мейнфрейм IBM-технології для забезпечення надійної, масштабованої та безпечної платформи. Бахрейн і Кувейт пропонують конкретні переваги розташування, які оптимізують роботу.

Керівні принципи:

Privacy-First (KMS/HSM)
Стійкість до різних зон/регіонів
Резервне копіювання перехресних рахунків
GitOps/IaC з підписаними артефактами
Робота SRE з SLO та автоматизацією (SOAR)

Центр обробки даних у Манамі спроектований таким чином, щоб задовольнити високі вимоги глобальної медіа-компанії:

Висока доступність: Час безвідмовної роботи 99,999 % досягається завдяки резервним системам, таким як подвійні джерела живлення, резервні генератори та дзеркальне обладнання для забезпечення безперервного виробництва повідомлень.
Масштабованість: Інфраструктуру можна гнучко розширювати, щоб впоратися зі зростаючими обсягами даних та обчислювальними вимогами, що є важливим для виробництва дев'ятьма мовами по всьому світу.
Обробка та зберігання даних: Мільйони текстових, графічних і відеоданих обробляються та зберігаються в режимі реального часу. Швидкі твердотільні накопичувачі та надійна мережа зберігання даних (SAN) забезпечують ефективність.
Підтримка штучного інтелекту: Потужні графічні та обчислювальні процесори підтримують складні робочі навантаження ШІ, такі як аналіз контенту та переклад.
Кібербезпека: Конфіденційні дані потребують розширеного захисту, який забезпечується Darktrace-технологій.

Варіанти використання ШІ

Контент-аналіз:
- Технології: Глибоке навчання та обробка природної мови (NLP) за допомогою таких моделей, як BERT, аналізують тексти, класифікують контент і витягують релевантну інформацію.
- Бенефіс: Прискорює обробку повідомлень і підвищує точність, наприклад, при розпізнаванні тенденцій або ключових тем.
Системи рекомендацій:
- Технології: Машинне навчання за допомогою спільної фільтрації та нейронних мереж персоналізує контент для читачів.
- Бенефіс: Підвищує лояльність користувачів завдяки індивідуальним рекомендаціям для читання, наприклад, для регіонального або мовного контенту.
Автоматизована звітність:
- Технології: Генеративні моделі ШІ, такі як GPT, створюють рутинні звіти, наприклад, про погоду або спортивні результати.
- Бенефіс: Звільняє редакторів, які можуть зосередитися на журналістських розслідуваннях або складному аналізі.
Переклади в режимі реального часу:
- Технології: Інструменти штучного інтелекту, такі як DeepL або наші власні моделі, перекладають контент дев'ятьма мовами в режимі реального часу.
- Бенефіс: Дозволяє негайно публікувати світові новини, що є ключовою перевагою для 115 газет.
Розпізнавання зображень і відео:
- Технології: Згорткові нейронні мережі (CNN) автоматично позначають та оцінюють візуальний контент.
- Бенефіс: Прискорює публікацію мультимедійного контенту завдяки автоматизованому створенню метаданих.

2. розташування та топологія

2.1 Манама (Бахрейн) - Основний регіон

Централізоване управління/оркестрування, кластери GPU/CPU, рівні об'єктів, SIEM/SOAR/KMS/PKI, DNS/каталог, сховища артефактів (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF розділення.

2.2 Зона доступності даних (AZ) Місто Кувейт

Географічна стійкість/роз'єднання; профілі реплікації для кожного класу даних (синхронні/майже синхронні/асинхронні); ізольовані домени помилок, виділені точки виходу, масштабування IAM, можливості DR (Pilot-Light-Active-Active-Active).

2.3 Передове розташування Сінгапур (KDDI Asia Pacific)

Прикордонний PoP, нейтральний до оператора (CDN/кешування, WAF/DDoS, потокове передавання). Основні дані через безпечну реплікацію; мета: мінімальна затримка APAC без публічного маршруту в чутливих підмережах.

3. архітектура мережі та міжмережевих з'єднань

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Манама-Кувейт-Сінгапур через DWDM/MPLS, QoS для реплікації/резервування, моніторинг затримок/джиттера з динамічним вибором шляху.

Периметр: NGFW, перевірка L7, DNS-фільтр, білі списки на виході. Ізоляція схід/захід: VRF/VXLAN, SG/NACL, mTLS, JIT доступ.

4. рівень обчислень, віртуалізації та контейнерів

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), оркестрування ВМ, GPU-вузли (змішаної точності), IMDSv2, підписані зображення (Cosign), перевірка SBOM, контролер допуску, seccomp/AppArmor. Секрети з бекендом KMS.

Клієнти: Простори імен/проекти, ABAC/RBAC, Межі дозволів, Мережеві політики за замовчуванням, Service Mesh mTLS, Anti-Affinity.

5. платформи для зберігання та обробки даних

NVMe флеш для низької латентності, SAN/NAS для сховищ VM/DB, сховище об'єктів S3 з версіонуванням, життєвим циклом, WORM і реплікацією Манама↔Кувейт; крайові кеші в Сінгапурі для медіа.

Стандарти: Блокування публічного доступу, заборона за замовчуванням, шифрування на стороні клієнт/сервер (KMS/HSM), реєстрація запису, спільний доступ за виключенням.

6. планування потенціалу

6.1 Обчислення

Ресурс	Кількість	Бюджет обслуговування на одиницю	Всього	Зауваження
IBM z17 (корпус мейнфрейма)	1 кадр	н/д	н/д	Висновок транзакцій/ШІ поблизу основних систем
GPU-сервер (2U, 8× GPU)	24 вузла	2 кВт	≈ 48 кВт	Навчання/висновки, зображення/відео/NLP
Процесорні обчислення (1U)	80 вузлів	0,4 кВт	≈ 32 кВт	Веб/Мікросервіси/K8s Worker
Прилади TPU/AI	8 Прилади	1,2 кВт	≈ 9,6 кВт	Спеціалізовані робочі навантаження ШІ

6.2 Пам'ять

Тварина	Ємність	Продуктивність	Використання
Основний NVMe (рівень 0/1)	≈ 600 ТБ	≈ 12 кВт	Інтенсивний ввід/вивід (журнали/гарячі дані)
SAN/NAS (блок/файл)	≈ 2.5 PB	≈ 18 кВт	Сховища БД/ВМ/редакційні ресурси
Об'єктна пам'ять (S3-сумісна)	≈ 8 PB	≈ 10 кВт	Медіа, версії, архіви
Архівний рівень (WORM/Cold)	≈ 20 PB	≈ 6 кВт	Довготривале зберігання, відповідність вимогам

6.3 Мережа / DCI

Компонент	Пропускна здатність	Технологія	Зауваження
Тканинні аплінки	100/200/400 Гбіт/с	Spine-Leaf, ECMP	Горизонтально масштабований
DCI Манама-Кувейт	≥ 2× 100 Гбіт/с	DWDM/MPLS (з резервуванням)	Синхронний/майже синхронний за робочим навантаженням
DCI Манама-Сінгапур	≥ 2× 100 Гбіт/с	Резервування провайдера	Граничне кешування/потокове передавання
Anycast/DDoS/WAF	Глобальний	Зачистка країв	Захист і низька затримка

6.4 Енергія/охолодження

Ресурс	Усний переклад	Мета	Підказка
Рейки ДБЖ	A/B	N+1	Подвійні шляхи
Генератори	N+1	Дизель + ATS	Щоквартальні тести на пересіченій місцевості
Охолодження	Рідинне / природне охолодження	Удосконалення ПУЕ	Ізоляція холодного/гарячого проходу
Сонячна енергія/ТЕЦ (за бажанням)	Масштабований	Сталий розвиток	Згладжування пікових навантажень

Домен	Масштабування	Вимірювання	Зауваження
Потужність графічного процесора	+50 %	Розширення кластера, додаткові стійки	Модульне розширення
Пам'ять об'єктів	+40 %	Подовжувачі полиць	Життєвий цикл/архівна тварина
Пропускна здатність DCI	+100 %	додаткові хвилі 100G	Піки APAC/EMEA
Крайні точки доступу	+2-3	APAC/EMEA	Розширення Anycast

+50 % GPU (8×GPU/вузол, 2U) і +30 % CPU за 12-24 місяці; щільність стійки та охолодження підтверджені тепловим моделюванням.

7. бази даних та обмін повідомленнями

Реляційні OLTP/OLAP, KV/сховища документів, пошукові індекси, потокове передавання; моделі узгодженості та синхронна/асинхронна реплікація; відмова DNS/додатків, PITR, тести на відновлення в "чистій кімнаті".

8 Робочі навантаження платформи ШІ та медіа

Сховище характеристик, реєстр моделей, відтворювані навчальні конвеєри, пояснюваність/моніторинг (дрейф/упередженість), управління.
Медіа: перекодування, DRM, персоналізація, крайове кешування.

Програмне забезпечення:

COBOL Upgrade Advisor для z/OS: Модернізує застарілі програми для Enterprise COBOL 6.
Спостережуваність Instana для Z: Моніторинг додатків та інфраструктури в режимі реального часу.
IntelliMagic Vision для z/OS: Оптимізує продуктивність мейнфреймів.
watsonx Assistant для Z: Підвищує продуктивність за допомогою ШІ-помічника.
Операція "Z" об'єднує: Спрощує процеси завдяки автоматизації з підтримкою ШІ.
Модернізація додатків: Такі інструменти, як Application Delivery Foundation для z/OS, watsonx Code Assistant для Z та z/OS Connect модернізують додатки та API.
Інше програмне забезпечення: CICS (обробка транзакцій), DB2 для z/OS (база даних), IMS (управління транзакціями) та Omegamon (моніторинг).

Z17 є надійною основою для обробки даних та інтеграції ШІ в центрі обробки даних.

9. безпека та комплаєнс

Нульова довіра, MFA/SSO, найменші привілеї, наскрізне шифрування, підписаний ланцюжок поставок (SBOM/SLSA), SIEM/SOAR, артефакти аудиту та записи обробки.

9.1 Додаткові бар'єри безпеки (від "LEGIER DT SEC")

Операційна модель та глобальний вплив
Центр обробки даних (робочі навантаження) експлуатується на основі мультирегіону / мультиАЗ: Виробництво в регіоні A (щонайменше 3 AZ), синхронізована робота в регіоні B (DR/Active-Active залежно від RPO/RTO). LEGIER забезпечує глобально розподілені регіони та зони доступності, які фізично відокремлені та незалежні з точки зору енергії/охолодження/мережі.
"Модель спільної відповідальності"
LEGIER відповідає за безпеку хмари (фізичне розташування, апаратне забезпечення, віртуалізацію, основні послуги). Клієнти відповідають за безпеку в хмарі (ідентифікаційні дані, мережа, дані, рівень ОС/контейнерів/додатків). Ця модель визначає архітектуру, контроль і аудит на всіх рівнях.
Фізична безпека
Багаторівневий фізичний контроль: Периметр (контроль доступу, моніторинг), охоронювані входи з МЗС, датчики/сигналізація, реєстрація доступу, суворе зонування будівлі. Ці засоби контролю управляються і перевіряються централізовано компанією LEGIER.
Сегментація мережі та захист периметра
Конструкція VPC з публічною/приватною підмережею на кожну AZ, сувора концепція ізоляції зі сходу/заходу, групи безпеки (з підтримкою стану) + NACL. Мережевий екран LEGIER як контроль периметра/входу L7 зі збереженням стану (наприклад, через центральну перевірку транзитного шлюзу). Кінцеві точки LEGIER PrivateLink/VPC: приватний доступ до API-інтерфейсів LEGIER та партнерських сервісів без виходу в Інтернет. LEGIER WAF та LEGIER Shield Advanced для захисту кінцевих точок, що виходять в Інтернет (правила L7, захист від ботів та DDoS-атак).
Комп'ютерна ізоляція (LEGIER Nitro)
Екземпляри EC2 працюють на системі LEGIER FACE: розділення апаратного навантаження ("нітро-карти"), тонкий нітро-гіпервізор без емуляції пристроїв, нітро-чіп безпеки для перевірки цілісності; таким чином, сильне розділення клієнтів і мінімізація поверхні атаки.
Ідентифікація, клієнти та найменші привілеї
Організації з SCP ("Політикою контролю доступу до послуг") централізовано застосовують максимальні межі повноважень для всіх облікових записів (посадочна зона). Центр ідентифікації IAM (раніше SSO) інтегрує IdP компанії, пропонує SSO та детальне призначення облікових записів/додатків; ABAC/межі дозволів доповнюють Least-Privilege.
Безпека даних та криптографія
Стандарт: шифрування на місці/в дорозі. Управління ключами через LEGIER KMS для геостійких міжрегіональних ключів (той самий матеріал ключа/ідентифікатор ключа в декількох регіонах - шифрування в регіоні А, дешифрування в регіоні В). CloudHSM, якщо потрібно (клієнтські, FIPS-валіфіковані кластери HSM, один орендар) для максимального суверенітету ключів. Контроль S3: Блокування публічного доступу (на рівні облікового запису / кошика) як "публічного за винятком", блокування об'єктів S3 (WORM) для незмінності та стійкості до програм-вимагачів. ЛОГІСТИЧНІ ЖУРНАЛИ: Виявлення/моніторинг конфіденційних даних (S3) з підтримкою ML та інтеграція в Security Hub.
Розпізнавання, реєстрація та керування положенням
LEGIER CloudTrail (для всієї організації, мультирегіональний) для подій API/управління, безперебійного аудиту та криміналістики. Amazon GuardDuty (виявлення загроз на основі журналів/виконання), LEGIER Security Hub (централізована кореляція результатів, кращі практики СНД/Фундації), додаткові Macie/Inspector/Detective як джерела сигналів.
Резервне копіювання, аварійне відновлення та незмінність
Резервне копіювання LEGIER з міжрегіональними та міжрахунковими копіями; політики централізовано через організації; комбінація з S3 Object Lock для резервного копіювання WORM. Моделі роботи: Pilot-Light, Warm-Standby або Active-Active; використання мультиАЗ-сервісів (RDS/Aurora, EKS, MSK) та відмовостійкість за маршрутом 53.
Управління та архітектурні огорожі
LEGIER Well-Architected - Стовп безпеки як еталон (принципи проектування, контроль, автоматизація). Відповідність: широке охоплення (включаючи ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact надає докази SOC/ISO на вимогу для аудиту.

Приклад схеми (нульова довіра та багаторівнева безпека)

Зона приземлення з декількома обліковими записами (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (наприклад, заборонені регіони/сервіси, примусове використання CloudTrail та KMS).
Мережа: Центральний концентратор VPC з транзитним шлюзом, мережевий брандмауер для перевірки VPC, кінцеві точки інтерфейсу/PrivateLink до S3, STS, KMS, ECR, Secrets Manager; немає вихідних публічних маршрутів з приватних підмереж.
Обчислення/Контейнер: EC2/EKS на Nitro; IMDSv2 примусово; тільки необхідні ролі IAM (найменші привілеї), секрети в Менеджері секретів/Сховищі параметрів SM.
Дані: S3 з блокуванням публічного доступу, шифруванням за замовчуванням (SSE-KMS), блокуванням об'єкта (режим відповідності або управління), Macie для виявлення PII.
Edge/Додатки: ALB/NLB за WAF та Shield Advanced, TLS-термінації/політики, керовані через ACM; доступ до API бажано приватний через PrivateLink.
Виявлення та аудит: загальноорганізаційний CloudTrail + S3 log bucket (WORM), журнали потоків GuardDuty/VPC/журнали resolver route 53, хаб безпеки як центральна інформаційна панель та інтеграція квитків.
Резервне копіювання/відновлення: Політики в LEGIER Backup з міжрегіональними та міжобліковими копіями; мультирегіональні ключі KMS для забезпечення стійкості ключів.

10. кіберстійкість, резервне копіювання та відновлення

Резервне копіювання між регіонами/обліковими записами з незмінними копіями (об'єктне блокування/WORM), відновлення тренувань в чистій кімнаті, профілі RTO/RPO, runbooks (пілотне світло, теплий режим очікування, активний-активний). Ціль: RPO ≤ 15 хв, RTO ≤ 60 хв.

11. спостережливість та операційна автоматизація

Центральна телеметрія (логи/метрики/траси), кореляція та плейбуки SOAR, відстеження SLO, бюджети помилок, ігрові дні та хаотичні тренування для зменшення MTTD/MTTR.

12. енергія, охолодження та сталий розвиток

Подвійне живлення, ДБЖ А/Б, генератори N+1, ізоляція, рідинне/адіабатичне/безповітряне охолодження, рекуперація тепла, варіанти з відновлюваних джерел енергії; PUE як KPI ефективності.

13. стелажні списки

13.1 Манама - Стійки для активної зони

U	Пристрій	Тип/Модель	Кількість	Лінія живлення (A/B)	Максимальна потужність [Вт]
42	Комутаційна панель A	LC/LC 144F	1	A	-
41	Комутаційна панель B	LC/LC 144F	1	B	-
40	Хребет 1	Комутатор 40/100G 1U	1	A	600
39	Хребет 2	Комутатор 40/100G 1U	1	B	600
38	Mgmt-Switch	1G/10G 1U	1	A	120
37-30	Листок 1-8	25/100G ТЗ 1U	8	A/B	8× 450
29-28	Кластер брандмауерів	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25-24	Балансир навантаження	2× 1U	2	A/B	2× 250

A-01: Основна мережа (хребет/корінець, NGFW, IDS/IPS, L7-LB)
A-02: Обчислення/процесор (навчання/висновки), процесорні вузли, Mgmt/KVM
A-03: Сховище (контролери, стелажі, резервні шлюзи)

13.2 Місто Кувейт - AZ-Racks

U	Пристрій	Тип/Модель	Кількість	Лінія живлення (A/B)	Максимальна потужність [Вт]
42-41	Комутаційна панель A/B	-	2	A/B	-
40-25	Процесорний сервер	1U	12	A/B	12× 400
24-17	Сервер графічних процесорів (DR)	2U	4	A/B	4× 2000
16-15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: мережа AZ/листок, брандмауери, LB
K-02: Обчислення/ДР
K-03: Об'єкт/резервна копія (WORM/Immutable)

13.3 Сінгапур - Крайня стійка

U	Пристрій	Тип/Модель	Кількість	Лінія живлення (A/B)	Максимальна потужність [Вт]
42	Комутаційна панель	-	1	A/B	-
41-40	Граничний маршрутизатор	1U	2	A/B	2× 250
39-38	Граничний перемикач	1U	2	A/B	2× 200
37-34	Кеш/проксі-вузли	1U	4	A/B	4× 350
33-32	Пристрій WAF/DDoS	1U	2	A/B	2× 300
31-28	Шлюз потоку	1U	4	A/B	4× 300

S-01: Граничні маршрутизатори/комутатори, кеш/проксі, WAF/DDoS, потокові шлюзи

14 цільових значень SLA та KPI

Домен	Цільове значення	Зауваження
Доступність	≥ 99.999 %	Резервні зони, автоматичне перемикання на інший ресурс
RPO	≤ 15 хвилин	Журналювання, реплікація, знімки
RTO	≤ 60 хвилин	Runbooks, Recovery-as-Code
Безпека	MTTD < 5 хв, MTTR < 60 хв.	Виявлення аномалій, плейлисти SOAR
Ефективність	Оптимізація ПУЕ	Рідинне охолодження, природне охолодження

Доступність ≥ 99,999 %, MTTD < 5 хв, MTTR < 60 хв, RPO ≤ 15 хв, RTO ≤ 60 хв; щоквартальні огляди/аудити.

Логічне представлення користувачів/партнерів через Edge (Сінгапур) і DCI в основну структуру (Манама) і платформи даних з реплікацією в AZ Кувейт.

15. дорожня карта (12-24 місяці)

Бахрейн, Кувейт і Сінгапур мають стратегічні переваги щодо розташування дата-центру, зони доступності даних і периферії:

Географічне розташування: Розташований між Європою, Азією та Африкою, ідеально підходить для глобального зв'язку.
Ділова доброзичливість: Відсутність корпоративних податків та 100 % іноземної власності заохочують інвестиції.
Регуляторна підтримка: TRA та Рада економічного розвитку (EDB) пропонують такі стимули, як "Золота ліцензія".
Інфраструктура: Складні енергетичні та мережеві з'єднання, а також кваліфікована робоча сила.
Стабільність: Будучи фінансовими центрами (Бахрейн і Кувейт) на Близькому Сході та в Азії (Сінгапур), ці місця забезпечують політичну та економічну безпеку.

Особливості IBM z17:

Процесор Telum® II: Пропонує високу обчислювальну потужність і прискорення ШІ на кристалі для операцій виведення в реальному часі, наприклад, для аналізу даних зчитування.
Прискорювач Spyre™: Збільшує обчислювальну потужність ШІ для генеративних моделей і багатомодельних методів.
Охорона: Апаратне шифрування та криптографічний співпроцесор PCIe захищають конфіденційні дані.
Стійкість: Інтегровані функції забезпечують постійну доступність.

Пам'ять даних LEGIER:

Медіа-група LEGIER користується послугами файлового хостингу, що дозволяє зберігати великі обсяги даних, з доступом через HTTP/HTTPS і використовує концепцію відер та об'єктів, які схожі на каталоги та файли, що стали стандартними. LEGIER працює разом з AWS, використовуючи мережеві диски Elastic File System та архівацію файлів Glacier, щоб досягти "99.999999999" відсотків довговічності даних. Перевагою для медіа-групи LEGIER є використання Elastic Block Store (EBS) та зберігання на рівні блоків, до яких можуть бути приєднані екземпляри EC2.

Перевагою цієї технології є передача великих обсягів даних за допомогою сервісу Сніжок. Сховище на жорсткому диску, на яке можна копіювати великі обсяги даних і відправляти їх назад посилковою службою, завдяки чому передача дуже великих обсягів даних у власну 115 щоденну газету (статті, зображення, відео, прямі трансляції) відбувається набагато швидше, а також зберігання в базах даних (SimpleDB або Relational Database Service).

Масштабування GPU/об'єкта/DCI/краю, розширення anycast, посилення ланцюжка поставок (SLSA), автоматизація дотримання нормативних вимог, регулярні вправи на відмовостійкість/перезапуск.