LEGIER RECHENZENTRUM: Manama (Bahrain) • Data Availability Zone Kuwait City • Edge-Standort Singapore (KDDI Asia Pacific)

Mục lục

Öfter, Sky Look1. Executive Summary

Các NHÓM HỢP KIM betreibt ein mehrstufiges Datacenter-Ökosystem mit Manama (Core), Kuwait City (AZ) und Singapore (Edge). Es bietet getrennte, dennoch integrierte Ebenen für Netzwerk, Compute, Speicher, Daten, KI und Sicherheit.

Ziele: Hochverfügbarkeit, Zero-Trust-Sicherheit, niedrige Latenzen und nachweisbare Compliance.

Unter Genehmigung der Telecommunications Regulatory Authority (TRA) in Bahrain, nutzt das LEGIER-Datencenter modernste Technologien wie eigene KI-Komponenten, Darktrace-Sicherheitslösungen und IBM-Mainframe-Technik, um eine zuverlässige, skalierbare und sichere Plattform zu gewährleisten. Bahrain und Kuwait bieten dabei spezifische Standortvorteile, die den Betrieb optimieren.

Leitprinzipien:

Privacy-First (KMS/HSM)
Multi-AZ/-Region-Resilienz
Cross-Account-Backups
GitOps/IaC mit signierten Artefakten
SRE-Betrieb mit SLOs und Automatisierung (SOAR)

Das Datencenter in Manama ist darauf ausgelegt, die anspruchsvollen Anforderungen eines globalen Medienunternehmens zu erfüllen:

Hohe Verfügbarkeit: Eine Betriebszeit von 99,999 % wird durch redundante Systeme wie doppelte Stromquellen, Notstromaggregate und gespiegelte Hardware erreicht, um die kontinuierliche Nachrichtenproduktion sicherzustellen.
Skalierbarkeit: Die Infrastruktur kann flexibel erweitert werden, um steigende Datenmengen und Rechenanforderungen zu bewältigen – essenziell für die Produktion in neun Sprachen weltweit.
Datenverarbeitung und Speicherung: Millionen von Text-, Bild- und Videodatenpunkten werden in Echtzeit verarbeitet und gespeichert. Schnelle SSDs und ein robustes Storage Area Network (SAN) gewährleisten Effizienz.
KI-Unterstützung: Leistungsstarke GPUs und TPUs unterstützen komplexe KI-Workloads wie Inhaltsanalyse und Übersetzungen.
Cybersicherheit: Sensible Daten erfordern fortschrittlichen Schutz, der durch Darktrace-Technologien abgedeckt wird.

Anwendungsfälle der KI

Inhaltsanalyse:
- Technologie: Deep Learning und Natural Language Processing (NLP) mit Modellen wie BERT analysieren Texte, kategorisieren Inhalte und extrahieren relevante Informationen.
- Để sử dụng: Beschleunigt die Nachrichtenverarbeitung und verbessert die Genauigkeit, z. B. bei der Erkennung von Trends oder Schlüsselthemen.
Empfehlungssysteme:
- Technologie: Maschinelles Lernen mit Collaborative Filtering und neuronalen Netzen personalisiert Inhalte für Leser.
- Để sử dụng: Steigert die Nutzerbindung durch maßgeschneiderte Leseempfehlungen, etwa für regionale oder sprachspezifische Inhalte.
Automatisierte Berichterstattung:
- Technologie: Generative KI-Modelle wie GPT erstellen Routineberichte, z. B. Wetter- oder Sportergebnisse.
- Để sử dụng: Entlastet Redakteure, die sich auf investigativen Journalismus oder komplexe Analysen konzentrieren können.
Echtzeit-Übersetzungen:
- Technologie: KI-Tools wie DeepL oder eigene Modelle übersetzen Inhalte in neun Sprachen in Echtzeit.
- Để sử dụng: Ermöglicht die sofortige Veröffentlichung globaler Nachrichten, ein zentraler Vorteil für die 115 Zeitungen.
Bild- und Videoerkennung:
- Technologie: Convolutional Neural Networks (CNNs) taggen und bewerten visuelle Inhalte automatisch.
- Để sử dụng: Beschleunigt die Veröffentlichung von Multimedia-Inhalten durch automatisierte Metadaten-Erstellung.

2. Standorte & Topologie

2.1 Manama (Bahrain) – Core-Region

Zentrale Steuerung/Orchestrierung, GPU/CPU-Cluster, Objekt-Tiers, SIEM/SOAR/KMS/PKI, DNS/Directory, Artifact-Repositories (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, VRF-Trennung.

2.2 Data Availability Zone (AZ) Kuwait City

Geographische Resilienz/Entkopplung; Replikationsprofile je Datenklasse (synchron/nahe-synchron/asynchron); isolierte Fehlerdomänen, dedizierte Egress-Punkte, IAM-Scoping, DR-Kapazitäten (Pilot-Light–Active-Active).

2.3 Edge-Standort Singapore (KDDI Asia Pacific)

Carrier-neutraler Edge-PoP (CDN/Caching, WAF/DDoS, Streaming). Masterdaten via gesicherte Replikation; Ziel: minimale APAC-Latenz ohne Public-Route in sensiblen Subnetzen.

3. Netzwerk- & Interconnect-Architektur

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama–Kuwait–Singapore via DWDM/MPLS, QoS für Replikation/Backups, Latenz-/Jitter-Überwachung mit dynamischer Pfadwahl.

Perimeter: NGFW, L7-Inspection, DNS-Filter, Egress-Whitelisting. Ost/West-Isolation: VRF/VXLAN, SG/NACL, mTLS, JIT-Access.

4. Compute-, Virtualisierungs- & Container-Layer

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-Orchestrierung, GPU-Nodes (Mixed-Precision), IMDSv2, signierte Images (Cosign), SBOM-Prüfung, Admission-Controller, seccomp/AppArmor. Secrets mit KMS-Backend.

Mandanten: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.

5. Speicher- & Datenplattformen

NVMe-Flash für Low-Latency, SAN/NAS für VM-/DB-Stores, S3-Objektstore mit Versionierung, Lifecycle, WORM und Replikation Manama↔Kuwait; Edge-Caches in Singapore für Medien.

Standards: Block Public Access, Default-Deny, client-/serverseitige Verschlüsselung (KMS/HSM), Write-Once-Logging, Public-by-Exception-Freigaben.

6. Kapazitätsplanung

6.1 Compute

Ressource	Menge	Leistungsbudget je Einheit	Gesamt	Bemerkung
IBM z17 (Mainframe-Frame)	1 Frame	n/a	n/a	Transaktion/KI-Inferenz nahe Kernsystemen
GPU-Server (2U, 8× GPU)	24 Nodes	2 kW	≈ 48 kW	Training/Inferenz, Bild/Video/NLP
CPU-Compute (1U)	80 Nodes	0,4 kW	≈ 32 kW	Web/Microservices/K8s Worker
TPU/AI-Appliances	8 Appliances	1,2 kW	≈ 9,6 kW	Spezialisierte KI-Workloads

6.2 Speicher

Tier	Kapazität	Leistung	Einsatz
NVMe-Primär (Tier 0/1)	≈ 600 TB	≈ 12 kW	I/O-intensiv (Journals/Hot Data)
SAN/NAS (Block/File)	≈ 2,5 PB	≈ 18 kW	DB/VM-Stores/Redaktions-Shares
Objektspeicher (S3-kompatibel)	≈ 8 PB	≈ 10 kW	Medien, Versionen, Archive
Archiv-Tier (WORM/Cold)	≈ 20 PB	≈ 6 kW	Langzeitablage, Compliance

6.3 Netzwerk/DCI

thành phần	Durchsatz	Technik	Bemerkung
Fabric Uplinks	100/200/400 Gbit/s	Spine-Leaf, ECMP	Horizontal skalierbar
DCI Manama—Kuwait	≥ 2× 100 Gbit/s	DWDM/MPLS (redundant)	Synchron/nah-synchron je Workload
DCI Manama—Singapore	≥ 2× 100 Gbit/s	Provider-Redundanz	Edge-Caching/Streaming
Anycast/DDoS/WAF	Global	Edge-Scrubbing	Schutz & niedrige Latenz

6.4 Energie/Kühlung

Ressource	Auslegung	Mục tiêu	Để ý
USV-Schienen	A/B	N+1	Duale Pfade
Generatoren	N+1	Diesel + ATS	Langläufer-Tests quartalsweise
Kühlung	Flüssig/Free-Cooling	PUE-Verbesserung	Kalt-/Warmgang-Einhausung
Solar/KWK (optional)	Skalierbar	tính bền vững	Lastspitzen-Glättung

Domäne	Skalierung	Maßnahme	Bemerkung
GPU-Kapazität	+50 %	Cluster-Erweiterung, zusätzliche Racks	Modularer Ausbau
Objektspeicher	+40 %	Shelf-Erweiterungen	Lifecycle/Archiv-Tier
DCI-Durchsatz	+100 %	zus. 100G-Wellen	APAC/EMEA Peaks
Edge-PoPs	+2–3	APAC/EMEA	Anycast-Verbreiterung

+50 % GPU (8×GPU/Node, 2U) und +30 % CPU in 12–24 Monaten; Rack-Dichten & Cooling durch Thermiksimulation validiert.

7. Datenbanken & Messaging

Relationale OLTP/OLAP, KV-/Dokumentenstores, Suchindizes, Streaming; Konsistenzmodelle und Sync/Async-Replikation; DNS-/App-Failover, PITR, Restore-Tests im Cleanroom.

8. KI-Plattform & mediale Workloads

Feature-Store, Modell-Registry, reproduzierbare Trainingspipelines, Explainability/Monitoring (Drift/Bias), Governance.
Medien: Transkodierung, DRM, Personalisierung, Edge-Caching.

Software:

COBOL Upgrade Advisor für z/OS: Modernisiert Legacy-Anwendungen für Enterprise COBOL 6.
Instana Observability for Z: Überwacht Anwendungen und Infrastruktur in Echtzeit.
IntelliMagic Vision for z/OS: Optimiert die Mainframe-Leistung.
watsonx Assistant for Z: Steigert die Produktivität durch einen KI-Assistenten.
Z Operations Unite: Vereinfacht Abläufe mit KI-gestützter Automatisierung.
Anwendungsmodernisierung: Tools wie Application Delivery Foundation for z/OS, watsonx Code Assistant for Z und z/OS Connect modernisieren Anwendungen und APIs.
Weitere Software: CICS (Transaktionsverarbeitung), DB2 for z/OS (Datenbank), IMS (Transaktionsmanagement), und Omegamon (Überwachung).

Der z17 bildet eine robuste Grundlage für die Datenverarbeitung und KI-Integration im Datencenter.

9. Sicherheit & Compliance

Zero-Trust, MFA/SSO, Least-Privilege, Ende-zu-Ende-Verschlüsselung, signierte Lieferkette (SBOM/SLSA), SIEM/SOAR, Audit-Artefakte und Records of Processing.

9.1 Ergänzende Sicherheitsleitplanken (aus „LEGIER DT SEC“)

Betriebsmodell & Globaler Footprint
Das Rechenzentrum (Workloads) wird multi-Region / multi-AZ betrieben: Production in Region A (mind. 3 AZs), synchroner Betrieb in Region B (DR/Active-Active je nach RPO/RTO). LEGIER stellt dazu global verteilte Regionen und Availability Zones bereit, die physisch getrennt und unabhängig mit Energie/Kühlung/Netz sind.
„Shared Responsibility Model“
LEGIER ist verantwortlich für die Sicherheit der Cloud (physische Standorte, Hardware, Virtualisierung, Kernservices). Kunden sind verantwortlich für die Sicherheit in der Cloud (Identitäten, Netz, Daten, OS/Container/App-Layer). Dieses Modell bestimmt Architektur, Kontrollen und Audits über alle Schichten.
Physische Sicherheit
Mehrschichtige physische Kontrollen: Perimeter (Zutrittskontrollen, Überwachung), gesicherte Eingänge mit MFA, Sensorik/Alarme, Logging von Zutritten, strikte Zonierung im Gebäude. Diese Kontrollen werden zentral durch LEGIER betrieben und geprüft.
Netzwerk-Segmentierung & Perimeterschutz
VPC-Design mit Public/Private Subnetting pro AZ, striktem Ost-/West-Isolation-Konzept, Security Groups (zustandsbehaftet) + NACLs. LEGIER Network Firewall als stateful L7-Perimeter/egress-Kontrolle (z. B. via Transit Gateway-zentrale Inspektion). LEGIER PrivateLink/VPC Endpoints: Private Zugriffe auf LEGIER-APIs und Partnerdienste ohne Internet-Expose. LEGIER WAF & LEGIER Shield Advanced vor Internet-Facing-Endpunkten (L7-Regeln, Bot/DDoS-Schutz).
Compute-Isolation (LEGIER Nitro)
EC2-Instanzen laufen auf dem LEGIER FACE System: Trennung von Hardware-Offloads („Nitro Cards“), schlanker Nitro-Hypervisor ohne Geräte-Emulation, Nitro Security Chip zur Integritätsprüfung; dadurch starke Mandantentrennung und minimierte Angriffsfläche.
Identitäten, Mandanten & Least-Privilege
LEGIER Organizations mit SCPs („Service Control Policies“) erzwingt zentral maximale Obergrenzen der Berechtigungen (Guardrails) für alle Konten (Landing Zone). IAM Identity Center (ehem. SSO) integriert das Unternehmens-IdP, bietet SSO & fein-granulare Zuweisung zu Accounts/Apps; ABAC/Permission Boundaries ergänzen Least-Privilege.
Datensicherheit & Kryptografie
Standard: Verschlüsselung at-rest/in-transit. Schlüsselverwaltung über LEGIER KMS, für Geo-Resilienz Multi-Region Keys (gleiches Key-Material/Key-ID in mehreren Regionen – encrypt in Region A, decrypt in Region B). CloudHSM bei Bedarf (kundeneigene, FIPS-validierte HSM-Cluster, Single-Tenant) für maximale Schlüsselhoheit. S3-Kontrollen: Block Public Access (Account/Bucket-Level) als „Public-by-Exception“, S3 Object Lock (WORM) für Unveränderbarkeit & Ransomware-Resilienz. LEGIER LOGS: ML-gestützte Erkennung/Überwachung sensibler Daten (S3) und Integration in Security Hub.
Erkennung, Protokollierung & Posture Management
LEGIER CloudTrail (org-weit, multi-Region) für API-/Management-Events, lückenloses Audit & Forensik. Amazon GuardDuty (Log-/Runtime-basierte Bedrohungserkennung), LEGIER Security Hub (zentrale Findings-Korrelation, CIS/Foundational Best Practices), optional Macie/Inspector/Detective als Signalquellen.
Backup, DR & Unveränderlichkeit
LEGIER Backup mit Cross-Region- und Cross-Account-Kopien; Richtlinien zentral via Organizations; Kombination mit S3 Object Lock für Backup-WORM. Betriebsmodelle: Pilot-Light, Warm-Standby oder Active-Active; Nutzung von Multi-AZ-Diensten (RDS/Aurora, EKS, MSK) und Route 53-Failover.
Governance & Architekturleitplanken
LEGIER Well-Architected – Security Pillar als Referenz (Design-Prinzipien, Kontrollen, Automatisierung). Compliance: breite Abdeckung (u. a. ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP …); LEGIER Artifact liefert SOC/ISO-Nachweise on-demand für Audits.

Beispiel-Blueprint (Zero-Trust & mehrstufige Sicherheit)

Multi-Account Landing Zone (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (z. B. verbotene Regionen/Services, erzwungene CloudTrail-& KMS-Nutzung).
Netz: Zentrales Hub-VPC mit Transit Gateway, Network Firewall-Inspection VPC, Interface-Endpoints/PrivateLink zu S3, STS, KMS, ECR, Secrets Manager; keine ausgehenden Public-Routes aus Private Subnets.
Compute/Container: EC2/EKS auf Nitro; IMDSv2 erzwungen; nur notwendige IAM-Rollen (least privilege), Secrets in Secrets Manager/SSM Parameter Store.
Daten: S3 mit Block Public Access, Default-Encryption (SSE-KMS), Object Lock (Compliance- oder Governance-Mode), Macie für PII-Erkennung.
Edge/Apps: ALB/NLB hinter WAF & Shield Advanced, TLS-Terminations/Policies verwaltet über ACM; API-Zugriff vorzugsweise privat über PrivateLink.
Detektion & Audit: Org-weiter CloudTrail + S3-Log-Bucket (WORM), GuardDuty/VPC Flow Logs/Route 53 Resolver Logs, Security Hub als zentrales Dashboard & Ticket-Integration.
Backups/DR: Richtlinien in LEGIER Backup mit Cross-Region & Cross-Account-Kopien; KMS-Multi-Region Keys für Schlüssel-Resilienz.

10. Cyber-Resilience, Backups & Recovery

Cross-Region/-Account-Backups mit unveränderlichen Kopien (Object-Lock/WORM), Restore-Drills im Cleanroom, RTO/RPO-Profile, Runbooks (Pilot-Light, Warm-Standby, Active-Active). Ziel: RPO ≤ 15 Min., RTO ≤ 60 Min.

11. Observability & Betriebsautomatisierung

Zentrale Telemetrie (Logs/Metriken/Traces), Korrelation & SOAR-Playbooks, SLO-Tracking, Error Budgets, Game Days und Chaos-Drills zur MTTD/MTTR-Reduktion.

12. Energie, Kühlung & Nachhaltigkeit

Doppelte Einspeisungen, A/B-USV, N+1-Generatoren, Containment, Flüssig-/Adiabatik-/Free-Cooling, Wärmerückgewinnung, Erneuerbare-Optionen; PUE als Effizienz-KPI.

13. Rack-Listen

13.1 Manama – Core-Racks

U	Gerät	Typ/Modell	Anzahl	Zuleitung (A/B)	Max-Leistung [W]
42	Patchpanel A	LC/LC 144F	1	A	—
41	Patchpanel B	LC/LC 144F	1	B	—
40	Spine 1	40/100G Switch 1U	1	A	600
39	Spine 2	40/100G Switch 1U	1	B	600
38	Mgmt-Switch	1G/10G 1U	1	A	120
37–30	Leaf 1–8	25/100G ToR 1U	8	A/B	8× 450
29–28	Firewall Cluster	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25–24	Load Balancer	2× 1U	2	A/B	2× 250

A-01: Core-Netz (Spine/Leaf, NGFW, IDS/IPS, L7-LB)
A-02: Compute/GPU (Training/Inferenz), CPU-Nodes, Mgmt/KVM
A-03: Storage (Controller, Shelves, Backup-Gateways)

13.2 Kuwait City – AZ-Racks

U	Gerät	Typ/Modell	Anzahl	Zuleitung (A/B)	Max-Leistung [W]
42–41	Patchpanel A/B	—	2	A/B	—
40–25	CPU-Server	1U	12	A/B	12× 400
24–17	GPU-Server (DR)	2U	4	A/B	4× 2000
16–15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: AZ-Netz/Leaf, Firewalls, LB
K-02: Compute/DR
K-03: Objekt/Backup (WORM/Immutable)

13.3 Singapore – Edge-Rack

U	Gerät	Typ/Modell	Anzahl	Zuleitung (A/B)	Max-Leistung [W]
42	Patchpanel	—	1	A/B	—
41–40	Edge Router	1U	2	A/B	2× 250
39–38	Edge Switch	1U	2	A/B	2× 200
37–34	Cache/Proxy Nodes	1U	4	A/B	4× 350
33–32	WAF/DDoS Appliance	1U	2	A/B	2× 300
31–28	Stream Gateway	1U	4	A/B	4× 300

S-01: Edge-Router/Switches, Cache/Proxy, WAF/DDoS, Stream-Gateways

14. SLA-Zielwerte & KPIs

Domäne	Zielwert	Bemerkung
Verfügbarkeit	≥ 99,999 %	Redundante Zonen, automatisches Failover
RPO	≤ 15 Minuten	Journaling, Replikation, Snapshots
RTO	≤ 60 Minuten	Runbooks, Recovery-as-Code
Bảo vệ	MTTD < 5 Min., MTTR < 60 Min.	Anomalieerkennung, SOAR-Playbooks
Effizienz	PUE-Optimierung	Flüssigkühlung, Free-Cooling

Verfügbarkeit ≥ 99,999 %, MTTD < 5 Min., MTTR < 60 Min., RPO ≤ 15 Min., RTO ≤ 60 Min.; quartalsweise Reviews/Audits.

Logische Ansicht von Nutzern/Partnern über Edge (Singapore) und DCI in die Core-Fabric (Manama) und Datenplattformen, mit Replikation in die AZ Kuwait City.

15. Roadmap (12–24 Monate)

Bahrain und Kuwait sowie Singapore bieten strategische Vorteile für das Datencenter, Data Availability Zone und Edge-Standort:

Geografische Lage: Zentral zwischen Europa, Asien und Afrika, ideal für globale Konnektivität.
Geschäftsfreundlichkeit: Keine Unternehmenssteuern und 100 % ausländisches Eigentum fördern Investitionen.
Regulatorische Unterstützung: Die TRA und das Economic Development Board (EDB) bieten Anreize wie die Golden License.
Cơ sở hạ tầng: Hochentwickelte Strom- und Netzwerkverbindungen sowie eine qualifizierte Arbeitskraftbasis.
Stabilität: Als Finanzzentrum (Bahrain und Kuwait) im Nahen Osten und Asien (Singapore) bieten die genannten Standorte politische und wirtschaftliche Sicherheit.

IBM z17 Features:

Telum® II Prozessor: Bietet hohe Rechenleistung und On-Chip-KI-Beschleunigung für Echtzeit-Inferenzoperationen, z. B. zur Analyse von Leserdaten.
Spyre™ Accelerator: Erhöht die KI-Rechenleistung für generative Modelle und Multi-Modell-Methoden.
Bảo vệ: Hardware-basierte Verschlüsselung und PCIe Cryptographic Coprocessor schützen sensible Daten.
Resilienz: Integrierte Funktionen sichern eine kontinuierliche Verfügbarkeit.

LEGIER-Daten-Speicher:

Die LEGIER-Mediengruppe nutzt einen Filehosting-Dienst welcher große Datenmengen speichern kann wobei der Zugriff über HTTP/HTTPS erfolgt und das Konzept der Buckets und Objects nutzt, die Verzeichnissen und Dateien ähneln, welche sich als Standard etabliert haben. Hierbei arbeitet LEGIER mit AWS zusammen, wobei mit Elastic File System Netzlaufwerken und mit Glacier Archivierung von Dateien eine „99,999999999“-prozentige Haltbarkeit von Daten erreicht werden soll. Der Vorteil für die LEGIER Mediengruppe ist die Nutzung von Elastic Block Store (EBS) und Speichern auf Blockebene an der EC2-Instanzen angehängt werden können.

Der Vorteil dieser Technologie ist der Transfer großer Datenmengen mit dem Service Snowball Festplattenspeicher, auf welchem große Datenmengen kopiert werden können und per Paketdienst zurückgeschickt werden, wobei der Transfer sehr großer Datenmengen zu den eigenen 115 Tageszeitungen (Artikel, Bilder, Videos, Live-Stream) deutlich schneller erfolgt und in Datenbanken (entweder SimpleDB oder Relational Database Service) abgelegt werden.

Skalierung GPU/Objekt/DCI/Edge, Ausbau Anycast, Lieferkette (SLSA) härten, Compliance-Automation, regelmäßige Resilienz-/Wiederanlauf-Übungen.