LEGIER RECHTSZENTRUM：麦纳麦（巴林） - 数据可用区 科威特城 - 边缘位置 新加坡（KDDI 亚太地区）

目录

 

 

 

更多的时候，Sky Look1.内容摘要

"(《世界人权宣言》) 莱吉尔集团 该公司运营着一个多层数据中心生态系统，包括麦纳麦（核心）、科威特城（AZ）和新加坡（边缘）。它为网络、计算、存储、数据、人工智能和安全提供独立但集成的层级。

目标高可用性、零信任安全性、低延迟和可证明的合规性。

经 电信管理局（TRA） 位于巴林的 LEGIER 数据中心采用了最先进的技术，如自己的人工智能组件、 黑暗追踪-安全解决方案和 IBM 大型机-技术，以确保平台的可靠性、可扩展性和安全性。巴林和科威特具有特定的区位优势，可优化运营。

指导原则：

• 隐私优先（KMS/HSM）
• 多地区/区域复原力
• 跨账户备份
• 带签名工件的 GitOps/IaC
• SRE 运行与 SLO 和自动化 (SOAR)

位于麦纳麦的数据中心旨在满足全球媒体公司的苛刻要求：

1. 高可用性： 通过双电源、备用发电机和镜像硬件等冗余系统，实现了 99.999 % 的正常运行时间，以确保持续的信息生产。
2. 可扩展性： 该基础设施可灵活扩展，以应对不断增长的数据量和计算需求--这对于以全球九种语言进行生产至关重要。
3. 数据处理和存储： 可实时处理和存储数百万个文本、图像和视频数据点。快速固态硬盘和强大的存储区域网络（SAN）确保了效率。
4. 人工智能支持： 强大的 GPU 和 TPU 支持内容分析和翻译等复杂的人工智能工作负载。
5. 网络安全： 敏感数据需要高级保护，可通过以下方式提供保护 黑暗追踪-技术。

 

人工智能的使用案例

1. 内容分析：
2. • 技术： 利用 BERT 等模型进行深度学习和自然语言处理 (NLP) 可以分析文本、对内容进行分类并提取相关信息。
   • 好处 加快信息处理速度，提高准确性，例如在识别趋势或关键主题时。
3. 推荐系统：
   • 技术： 利用协同过滤和神经网络进行机器学习，为读者提供个性化内容。
   • 好处 通过定制阅读推荐，例如针对特定地区或语言的内容，提高用户忠诚度。
4. 自动报告：
   • 技术： 生成式人工智能模型（如 GPT）可创建常规报告，如天气或体育比赛结果。
   • 好处 减轻了编辑的负担，使他们能够集中精力进行新闻调查或复杂的分析。
5. 实时翻译：
   • 技术： DeepL 等人工智能工具或我们自己的模型可将内容实时翻译成九种语言。
   • 好处 能够即时发布全球新闻，这是 115 家报纸的主要优势。
6. 图像和视频识别：
   • 技术： 卷积神经网络（CNN）可自动标记和评估视觉内容。
   • 好处 通过自动创建元数据，加快多媒体内容的发布。

 

 

2. 位置和拓扑结构

2.1 麦纳麦（巴林）--核心地区

集中控制/协调、GPU/CPU 集群、对象层、SIEM/SOAR/KMS/PKI、DNS/目录、工件库 (SBOM)。Spine-Leaf-Fabric 100/200/400G、ECMP、VRF 分离。

2.2 数据可用区（AZ） 科威特城

地理弹性/解耦；每个数据类别的复制配置文件（同步/近似同步/异步）；隔离错误域、专用出口点、IAM 范围、灾难恢复能力（试点-轻型-主动-主动）。

2.3 边缘位置 新加坡（KDDI 亚太公司）

运营商中立边缘 PoP（CDN/缓存、WAF/DDoS、流媒体）。通过安全复制掌握数据；目标：在敏感子网中不使用公共路由，将亚太地区延迟降至最低。

3. 网络和互连架构

Spine-Leaf（ToR 25/100G、Spine 100/200/400G）、ECMP、Anycast-BGP、SD-WAN。通过 DWDM/MPLS、用于复制/备份的 QoS、动态路径选择的延迟/抖动监控，实现 DCI Manama-Kuwait-Singapore。

外围NGFW、L7 检查、DNS 过滤、出口白名单。东/西隔离：VRF/VXLAN、SG/NACL、mTLS、JIT 访问。

4. 计算、虚拟化和容器层

Kubernetes（HA-CP、PSS、OPA/Gatekeeper）、虚拟机协调、GPU 节点（混合精度）、IMDSv2、签名图像（Cosign）、SBOM 检查、准入控制器、seccomp/AppArmor。带有 KMS 后端的保密功能。

客户端：命名空间/项目、ABAC/RBAC、权限边界、默认拒绝网络策略、服务网格 mTLS、反亲和。

5. 存储和数据平台

低延迟的 NVMe 闪存，用于 VM/DB 存储的 SAN/NAS，具有版本控制、生命周期、WORM 和复制功能的 S3 对象存储。

标准：阻止公众访问、默认拒绝、客户端/服务器端加密（KMS/HSM）、一次性写入日志、按例外情况公开共享。

6. 能力规划

6.1 计算

资源	数量	单位服务预算	总计	备注
IBM z17（大型机框架）	1 个框架	不适用	不适用	核心系统附近的事务/人工智能推理
GPU 服务器（2U，8× GPU）	24 个节点	2 千瓦	≈ 48 千瓦	培训/推理、图像/视频/NLP
CPU 计算（1U）	80 个节点	0.4 千瓦	≈ 32 千瓦	网络/微服务/K8s 工人
热塑性聚氨酯/AI 设备	8 个器具	1.2 千瓦	≈ 9.6 千瓦	专门的人工智能工作负载

 

 

6.2 内存

动物	容量	性能	使用
NVMe 主设备（第 0/1 层）	≈ 600 TB	≈ 12 千瓦	I/O 密集型（日志/热数据）
SAN/NAS（块/文件）	≈ 2.5 PB	≈ 18 千瓦	DB/VM 存储/编辑共享
对象存储器（与 S3 兼容）	≈ 8 PB	≈ 10 千瓦	媒体、版本、档案
存档层（WORM/冷）	≈ 20 PB	≈ 6 千瓦	长期储存、合规性

 

 

6.3 网络/DCI

组件	吞吐量	技术	备注
织物上行链路	100/200/400 Gbit/s	刺叶，ECMP	可横向扩展
科威特马纳马 DCI	≥ 2× 100 Gbit/s	DWDM/MPLS （冗余）	每个工作负载同步/近乎同步
麦纳麦-新加坡	≥ 2× 100 Gbit/s	提供商冗余	边缘缓存/流媒体
Anycast/DDoS/WAF	全球	边缘擦洗	保护和低延迟

 

 

6.4 能源/冷却

资源	口译	目标	提示
UPS 导轨	A/B	N+1	双通道
发电机	N+1	柴油机 + 自动变速器	每季度进行一次跨国测试
冷却	液体/自由冷却	改善 PUE	冷/热通道封闭
太阳能/热电联产（可选）	可扩展	可持续性	削峰填谷

域名	缩放	测量	备注
GPU 容量	+50 %	集群扩展，增加机架	模块化扩展
对象存储器	+40 %	货架扩展	生命周期/存档动物
DCI 吞吐量	+100 %	额外的 100G 波	亚太/中东和非洲峰值
边缘 PoP	+2-3	亚太/中东和非洲地区	任播扩展

+在 12-24 个月内增加 50 个 % GPU（8×GPU/节点，2U）和增加 30 个 % CPU；机架密度和冷却通过热模拟验证。

 

 

7. 数据库和信息传送

关系型 OLTP/OLAP、KV/文档存储、搜索索引、流；一致性模型和同步/同步复制；DNS/应用程序故障转移、PITR、洁净室恢复测试。

 

 

8 个人工智能平台和媒体工作负载

• 特征存储、模型注册、可重现的培训管道、可解释性/监控（漂移/偏差）、治理。
• 媒体：转码、DRM、个性化、边缘缓存。

软件

 

• z/OS 的 COBOL 升级顾问： 为 Enterprise COBOL 6 更新传统应用程序。
• Z 的 Instana Observability： 实时监控应用程序和基础设施。
• 用于 z/OS 的 IntelliMagic Vision： 优化主机性能。
• watsonx Z 的助理： 通过人工智能助手提高工作效率。
• Z 行动联合起来： 利用人工智能支持的自动化简化流程。
• 应用现代化： 应用交付基础（Application Delivery Foundation for z/OS）、watsonx Code Assistant for Z和z/OS Connect等工具使应用程序和应用程序接口现代化。
• 更多软件： CICS（事务处理）、DB2 for z/OS（数据库）、IMS（事务管理）和 Omegamon（监控）。

z17 为数据中心的数据处理和人工智能集成奠定了坚实的基础。

 

9. 安全与合规

零信任、MFA/SSO、最小权限、端到端加密、签名供应链（SBOM/SLSA）、SIEM/SOAR、审计工件和处理记录。

 

9.1 辅助安全护栏（摘自 "LEGIER DT SEC")

1. 运营模式和全球足迹
   数据中心（工作负载）在多区域/多 AZ 的基础上运行：在A区域生产（至少3个AZ），在B区域同步运行（DR/Active-Active，取决于RPO/RTO）。LEGIER提供全球分布的区域和可用区，这些区域和可用区在能源/冷却/网络方面是物理分离和独立的。
2. "共同责任模式"
   LEGIER负责云的安全（物理位置、硬件、虚拟化、核心服务）。客户负责云（身份、网络、数据、操作系统/容器/应用程序层）的安全。这种模式决定了所有层的架构、控制和审计。
3. 实体安全
   多层物理控制：外围（门禁、监控）、带 MFA 的安全入口、传感器/警报、出入记录、楼内严格分区。这些控制由 LEGIER 公司集中操作和检查。
4. 网络分段和周边保护
   VPC 设计包括每个 AZ 的公/私子网、严格的东/西隔离概念、安全组（有状态）+ NACL。LEGIER 网络防火墙作为有状态 L7 周界/出口控制（如通过中转网关中央检查）。LEGIER PrivateLink/VPC端点：无需互联网即可访问LEGIER API和合作伙伴服务。LEGIER WAF和LEGIER Shield Advanced针对面向互联网的端点（L7规则、僵尸/DDoS保护）。
5. 计算隔离（LEGIER Nitro）
   EC2 实例在 LEGIER FACE 系统上运行：硬件卸载分离（"nitro 卡"）、无需设备仿真的精简版 nitro 虚拟机管理程序、用于完整性检查的 nitro 安全芯片；因此客户端分离度高，攻击面最小。
6. 身份、客户和最低特权
   LEGIER 组织通过 SCP（"服务控制策略"）对所有账户（登陆区）集中执行最大授权限制（防护栏）。IAM 身份中心（原 SSO）集成了公司的 IdP，提供 SSO 和对账户/应用程序的细粒度分配；ABAC/权限边界补充了最低权限。
7. 数据安全与密码学
   标准：静态/传输中加密。通过 LEGIER KMS 进行密钥管理，实现多地区密钥的地理弹性（在多个地区使用相同的密钥材料/密钥 ID - 在 A 地区加密，在 B 地区解密）。如果需要，可使用云 HSM（客户自有、经 FIPS 验证的 HSM 集群，单租户），以实现最大密钥主权。S3 控制：阻止公共访问（账户/数据桶级别），将其视为 "例外情况下的公共访问"，S3 对象锁（WORM）可实现不可变性和勒索软件恢复能力。LEGIER LOGS：由 ML 支持的敏感数据（S3）检测/监控，并集成到安全中心。
8. 识别、记录和态势管理
   用于 API/管理事件、无缝审计和取证的 LEGIER CloudTrail（全组织、多区域）。亚马逊 GuardDuty（基于日志/运行时间的威胁检测）、LEGIER Security Hub（集中式发现关联、CIS/基础最佳实践）、可选的 Macie/Inspector/Detective，作为信号源。
9. 备份、灾难恢复和不变性
   LEGIER 备份，具有跨地区和跨账户副本；通过组织集中管理策略；与 S3 对象锁相结合，用于备份 WORM。运行模式：Pilot-Light、Warm-Standby 或 Active-Active；使用 multi-AZ 服务（RDS/Aurora、EKS、MSK）和 Route 53 故障切换。
10. 治理和建筑护栏
    LEGIER 完善的架构 - 以安全支柱为参考（设计原则、控制、自动化）。合规性：覆盖面广（包括ISO 27001/17/18、SOC 1/2/3、PCI DSS、FedRAMP......）；LEGIER Artifact可按需为审计提供SOC/ISO证据。

示例蓝图（零信任和多级安全）

• 多账户登陆区（生产/非生产/安全/日志存档）+ SCP-Guardrails（如禁止区域/服务、强制使用 CloudTrail 和 KMS）。
• 网络：带中转网关的中心枢纽 VPC、网络防火墙检查 VPC、连接 S3、STS、KMS、ECR 和 Secrets Manager 的接口端点/私有链路；没有从私有子网发出的公共路由。
• 计算/容器：Nitro 上的 EC2/EKS；执行 IMDSv2；只有必要的 IAM 角色（最少权限），在 Secrets Manager/SSM Parameter Store 中的 Secrets。
• 数据：具有块公共访问权限的 S3、默认加密（SSE-KMS）、对象锁（合规或治理模式）、用于 PII 检测的 Macie。
• 边缘/应用程序：ALB/NLB 位于 WAF 和 Shield Advanced 后方，TLS 终止/策略通过 ACM 管理；API 访问最好通过 PrivateLink 进行私有化。
• 检测和审计：Org-wide CloudTrail + S3 日志桶（WORM）、GuardDuty/VPC 流量日志/路由 53 解析器日志、作为中央仪表板的安全中心和票据集成。
• 备份/DR：LEGIER 备份中的策略，具有跨区域和跨账户副本；KMS 多区域密钥，可实现密钥弹性。

10. 网络复原力、备份和恢复

带有不可更改副本（对象锁/WORM）的跨区域/账户备份、在净室中进行还原演练、RTO/RPO 配置文件、运行手册（试运行、热待机、主动-主动）。目标：RPO ≤ 15 分钟，RTO ≤ 60 分钟。

11. 可观察性和运行自动化

中央遥测（日志/度量/跟踪）、相关性和 SOAR 游戏手册、SLO 跟踪、错误预算、游戏日和减少 MTTD/MTTR 的混乱演习。

 

 

12. 能源、冷却和可持续性

双馈电、A/B UPS、N+1 发电机、密封、液体/绝热/自由冷却、热回收、可再生选项；PUE 作为效率关键绩效指标。

13. 机架清单

13.1 麦纳麦--核心机架

U	设备	类型/型号	数量	供应线 (A/B)	最大功率 [W]
42	配线架 A	LC/LC 144F	1	A	-
41	配线架 B	LC/LC 144F	1	B	-
40	脊柱 1	40/100G 交换机 1U	1	A	600
39	脊柱 2	40/100G 交换机 1U	1	B	600
38	管理开关	1G/10G 1U	1	A	120
37-30	叶 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	防火墙集群	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS 边缘	1U	1	B	200
25-24	负载平衡器	2× 1U	2	A/B	2× 250

A-01：核心网络（Spine/Leaf、NGFW、IDS/IPS、L7-LB）
A-02：计算/GPU（训练/参考）、CPU 节点、管理/KVM
A-03：存储器（控制器、架子、备份网关）

13.2 科威特城--AZ-机架

U	设备	类型/型号	数量	供应线 (A/B)	最大功率 [W]
42-41	配线架 A/B	-	2	A/B	-
40-25	CPU 服务器	1U	12	A/B	12× 400
24-17	GPU 服务器（DR）	2U	4	A/B	4× 2000
16-15	管理/KVM	1U	2	A/B	2× 80

K-01：AZ 网络/树叶、防火墙、LB
K-02：计算机/DR
K-03：对象/备份（WORM/不可变）

13.3 新加坡 - 边缘机架

U	设备	类型/型号	数量	供应线 (A/B)	最大功率 [W]
42	配线架	-	1	A/B	-
41-40	边缘路由器	1U	2	A/B	2× 250
39-38	边缘开关	1U	2	A/B	2× 200
37-34	缓存/代理节点	1U	4	A/B	4× 350
33-32	WAF/DDoS 设备	1U	2	A/B	2× 300
31-28	流媒体网关	1U	4	A/B	4× 300

S-01：边缘路由器/交换机、缓存/代理、WAF/DDoS、流网关

14 SLA 目标值和关键绩效指标

域名	目标值	备注
可用性	≥ 99.999 %	冗余区域，自动故障切换
RPO	≤ 15 分钟	日志、复制、快照
RTO	≤ 60 分钟	运行手册、代码恢复
安全	MTTD < 5 分钟，MTTR < 60 分钟。	异常检测、SOAR 操作手册
效率	优化 PUE	液体冷却、自由冷却

可用性 ≥ 99.999 %，MTTD < 5 分钟，MTTR < 60 分钟，RPO ≤ 15 分钟，RTO ≤ 60 分钟；季度审查/审计。

通过边缘（新加坡）和 DCI 向核心结构（麦纳麦）和数据平台提供用户/合作伙伴的逻辑视图，并复制到 AZ 科威特城。

 

 

15. 路线图（12-24 个月）

巴林、科威特和新加坡在数据中心、数据可用区和边缘位置方面具有战略优势：

• 地理位置： 位于欧洲、亚洲和非洲之间的中心位置，是连接全球的理想之地。
• 商业友好： 无公司税和 100 % 的外资所有权鼓励投资。
• 监管支持： TRA 和经济发展局 (EDB) 提供了黄金牌照等激励措施。
• 基础设施 先进的电力和网络连接以及熟练的劳动力基础。
• 稳定性： 作为中东和亚洲（新加坡）的金融中心（巴林和科威特），这些地方提供了政治和经济安全。

IBM z17 功能：

• Telum® II 处理器： 为实时推理操作（如分析阅读器数据）提供高计算能力和片上人工智能加速。
• Spyre™ 加速器 提高生成模型和多模型方法的人工智能计算能力。
• 安全： 基于硬件的加密和 PCIe 密码协处理器可保护敏感数据。
• 复原力： 集成功能可确保持续可用性。

LEGIER 数据存储器：

LEGIER 媒体集团使用的文件托管服务可以存储大量数据，通过 HTTP/HTTPS 进行访问，并采用了桶和对象的概念，类似于已成为标准的目录和文件。LEGIER 与 AWS 合作，使用弹性文件系统网络驱动器和 Glacier 文件归档，实现了 "99.999999999"% 的数据耐用性。对 LEGIER 媒体集团来说，使用弹性块存储（EBS）和可连接 EC2 实例的块级存储是一大优势。

这项技术的优势在于可以通过服务传输大量数据 雪球 硬盘存储，可复制大量数据并通过包裹服务送回，从而更快地将大量数据传输到自己的 115 份日报（文章、图片、视频、直播流），并存储在数据库（SimpleDB 或关系数据库服务）中。

扩展 GPU/对象/DCI/边缘、扩展 anycast、加固供应链 (SLSA)、合规自动化、定期恢复/重启演习。