За нас

Съдържание

1. резюме

Сайтът LEGIER GROUP управлява многостепенна екосистема от центрове за данни в Манама (Core), Кувейт Сити (AZ) и Сингапур (Edge). Той предлага отделни, но интегрирани нива за мрежа, изчисления, съхранение, данни, изкуствен интелект и сигурност. Цели: Висока наличност, сигурност с нулево доверие, ниска латентност и доказано съответствие. С одобрението на Регулаторен орган по телекомуникациите (TRA) в Бахрейн, центърът за данни на LEGIER използва най-съвременни технологии, като например собствени компоненти с изкуствен интелект, Darktrace-решения за сигурност и IBM mainframe-технологии, за да се осигури надеждна, мащабируема и сигурна платформа. Бахрейн и Кувейт предлагат специфични предимства на местоположението, които оптимизират операциите. Ръководни принципи:

• Първа защита на личните данни (KMS/HSM)
• Устойчивост в няколко зони/региона
• Архивиране на различни сметки
• GitOps/IaC с подписани артефакти
• Експлоатация на SRE с SLOs и автоматизация (SOAR)

Центърът за данни в Манама е проектиран така, че да отговаря на високите изисквания на глобална медийна компания:

1. Висока наличност: Времето за работа от 99,999 % се постига чрез резервирани системи, като например двойни източници на захранване, резервни генератори и огледален хардуер, за да се гарантира непрекъснато производство на съобщения.
2. Мащабируемост: Инфраструктурата може да бъде гъвкаво разширявана, за да се справи с нарастващите обеми данни и компютърни изисквания - от съществено значение за производството на девет езика по целия свят.
3. Обработка и съхранение на данни: Милиони текстови, графични и видео данни се обработват и съхраняват в реално време. Бързи SSD дискове и надеждна мрежа за съхранение (SAN) осигуряват ефективност.
4. Поддръжка на AI: Мощните графични процесори и процесори TPU поддържат сложни работни натоварвания с изкуствен интелект, като например анализ на съдържание и превод.
5. Киберсигурност: Чувствителните данни изискват разширена защита, която се осигурява от Darktrace-технологии.

Случаи на използване на AI

1. Анализ на съдържанието:
   • Технология: Дълбокото обучение и обработката на естествен език (НЛП) с модели като BERT анализират текстове, категоризират съдържание и извличат подходяща информация.
   • Полза: Ускорява обработката на съобщенията и подобрява точността, например при разпознаване на тенденции или ключови теми.
2. Системи за препоръчване:
   • Технология: Машинното обучение с колаборативно филтриране и невронни мрежи персонализира съдържанието за читателите.
   • Полза: Увеличаване на лоялността на потребителите чрез персонализирани препоръки за четене, например за съдържание, специфично за региона или езика.
3. Автоматизирано отчитане:
   • Технология: Генеративните модели на изкуствения интелект, като GPT, създават рутинни отчети, например за времето или спортните резултати.
   • Полза: Облекчава редакторите, които могат да се съсредоточат върху журналистически разследвания или сложни анализи.
4. Преводи в реално време:
   • Технология: Инструменти за изкуствен интелект като DeepL или нашите собствени модели превеждат съдържание на девет езика в реално време.
   • Полза: Позволява незабавното публикуване на глобални новини, което е ключово предимство за 115-те вестника.
5. Разпознаване на изображения и видео:
   • Технология: Конволюционните невронни мрежи (CNN) автоматично маркират и оценяват визуално съдържание.
   • Полза: Ускорява публикуването на мултимедийно съдържание чрез автоматизирано създаване на метаданни.

2. местоположение и топология

2.1 Манама (Бахрейн) - Основен регион

Централизирано управление/организация, клъстери с GPU/CPU, нива на обектите, SIEM/SOAR/KMS/PKI, DNS/директория, хранилища за артефакти (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, разделяне на VRF.  

2.2 Зона за наличност на данни (AZ) Кувейт Сити

Географска устойчивост/разделяне; профили на репликация за всеки клас данни (синхронни/близки до синхронните/асинхронни); изолирани домейни на грешки, специализирани точки на извеждане, определяне на обхвата на IAM, капацитети за DR (пилотен-лек-активен-активен).  

2.3 Крайно местоположение Сингапур (KDDI Asia Pacific)

Неутрално крайно място на оператора (CDN/кеширане, WAF/DDoS, стрийминг). Основни данни чрез защитена репликация; цел: минимална латентност в APAC без публичен маршрут в чувствителни подмрежи.  

3. архитектура на мрежата и взаимовръзките

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Манама-Кувейт-Сингапур чрез DWDM/MPLS, QoS за репликация/резервни копия, мониторинг на латентността/джитер с динамичен избор на път. Периметър: NGFW, L7 инспекция, DNS филтриране, бял списък на изхода. Източна/западна изолация: VRF/VXLAN, SG/NACL, mTLS, JIT достъп.  

4. изчислителен, виртуализационен и контейнерен слой

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), оркестрация на виртуални машини, GPU възли (със смесена точност), IMDSv2, подписани изображения (Cosign), проверка на SBOM, контролер за допускане, seccomp/AppArmor. Тайни с бекенд на KMS. Клиенти: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.  

5. платформи за съхранение и данни

NVMe флаш за ниска латентност, SAN/NAS за VM/DB хранилища, S3 обектно хранилище с версиониране, жизнен цикъл, WORM и репликация Манама↔Кувейт; крайни кешове в Сингапур за медии. Стандарти: Блокиране на публичния достъп, отказ по подразбиране, криптиране от страна на клиента/сървъра (KMS/HSM), записване само веднъж, публични споделяния по изключение.  

6. планиране на капацитета

6.1 Изчисляване

Ресурс	Количество	Бюджет за услуги на единица	Общо	Бележка
IBM z17 (рамка за мейнфрейм)	1 рамка	n/a	n/a	Извод за транзакция/И в близост до основните системи
Сървър за графични процесори (2U, 8× GPU)	24 възела	2 kW	≈ 48 kW	Обучение/извод, изображение/видео/NLP
Изчислителен процесор (1U)	80 възела	0,4 kW	≈ 32 kW	Уеб/микроуслуги/K8s Worker
Уреди TPU/AI	8 уреди	1,2 kW	≈ 9,6 kW	Специализирани работни натоварвания с AI

6.2 Памет

Животни	Капацитет	Изпълнение	Използвайте
NVMe primary (Tier 0/1)	≈ 600 TB	≈ 12 kW	Интензивни входно-изходни операции (дневници/хот данни)
SAN/NAS (блок/файл)	≈ 2,5 PB	≈ 18 kW	Съхранение на DB/VM/редакционни дялове
Памет за обекти (съвместима с S3)	≈ 8 PB	≈ 10 kW	Медии, версии, архиви
Ниво за архивиране (WORM/Cold)	≈ 20 PB	≈ 6 kW	Дългосрочно съхранение, съответствие

6.3 Мрежа/DCI

Компонент	Пропускателна способност	Технология	Бележка
Възходящи връзки на тъканта	100/200/400 Gbit/s	Spine-Leaf, ECMP	Хоризонтално мащабируеми
DCI Манама-Кувейт	≥ 2× 100 Gbit/s	DWDM/MPLS (излишни)	Синхронно/близко до синхронното за всяко работно натоварване
DCI Манама-Сингапур	≥ 2× 100 Gbit/s	Съкращаване на доставчика	Крайно кеширане/стрийминг
Anycast/DDoS/WAF	Глобален	Почистване на ръбове	Защита и ниска латентност

6.4 Енергия/охлаждане

Ресурс	Тълкуване	Цел	Намек
UPS релси	A/B	N+1	Двойни пътища
Генератори	N+1	Дизел + ATS	Тестове за различни държави на тримесечие
Охлаждане	Течно/свободно охлаждане	Подобряване на PUE	Изолиране на студени/горещи коридори
Слънчева енергия/CHP (по избор)	Мащабируем	Устойчивост	Изглаждане на пиковото натоварване

Домейн	Мащабиране	Мярка	Бележка
Капацитет на GPU	+50 %	Разширяване на клъстера, допълнителни стелажи	Модулно разширение
Памет за обекти	+40 %	Удължения на рафтове	Жизнен цикъл/архив животно
Пропускателна способност на DCI	+100 %	допълнителни вълни 100G	Пикове в APAC/EMEA
Крайни PoP	+2-3	APAC/EMEA	Разширение Anycast

+50 % GPU (8×GPU/Node, 2U) и +30 % CPU за 12-24 месеца; гъстотата и охлаждането на шкафовете са потвърдени чрез термична симулация.

7. бази данни и съобщения

Релационен OLTP/OLAP, KV/хранилища за документи, индекси за търсене, стрийминг; модели за консистентност и синхронизиране/асинхронно репликиране; DNS/приложения за отказ, PITR, тестове за възстановяване в чиста стая.  

8 AI платформа и медийни натоварвания

• Съхраняване на характеристики, регистър на моделите, възпроизводими тръбопроводи за обучение, обяснимост/мониторинг (отклонения/пристрастия), управление.
• Медии: транскодиране, DRM, персонализиране, крайно кеширане.

Софтуер:

• Съветник за обновяване на COBOL за z/OS: Модернизира наследените приложения за Enterprise COBOL 6.
• Наблюдаваемост на Instana за Z: Наблюдава приложенията и инфраструктурата в реално време.
• IntelliMagic Vision за z/OS: Оптимизира производителността на мейнфрейма.
• watsonx Помощник за Z: Увеличава производителността с асистент с изкуствен интелект.
• Обединете се в Z Operations: Опростява процесите с автоматизация, поддържана от изкуствен интелект.
• Модернизиране на приложенията: Инструменти като Application Delivery Foundation for z/OS, watsonx Code Assistant for Z и z/OS Connect модернизират приложенията и API.
• Допълнителен софтуер: CICS (обработка на транзакции), DB2 за z/OS (база данни), IMS (управление на транзакции) и Omegamon (мониторинг).

Z17 представлява стабилна основа за обработка на данни и интегриране на изкуствен интелект в центъра за данни.  

9. сигурност и съответствие

Нулево доверие, MFA/SSO, най-малки привилегии, криптиране от край до край, подписана верига на доставка (SBOM/SLSA), SIEM/SOAR, артефакти за одит и записи за обработка.  

9.1 Допълнителни предпазни бариери (от „LEGIER DT SEC“)

1. Оперативен модел и глобален отпечатък Центърът за данни (работните натоварвания) се управлява на базата на многорегионална/многоазиатска система: Производство в регион А (поне 3 AZ), синхронизирана работа в регион Б (DR/Active-Active в зависимост от RPO/RTO). LEGIER осигурява глобално разпределени региони и зони на наличност, които са физически разделени и независими с енергия/охлаждане/мрежа.
2. „Модел на споделена отговорност“ LEGIER отговаря за сигурността на облака (физически местоположения, хардуер, виртуализация, основни услуги). Клиентите отговарят за сигурността в облака (идентичности, мрежа, данни, операционна система/контейнер/слой на приложенията). Този модел определя архитектурата, контрола и одитите във всички слоеве.
3. Физическа сигурност Многопластови физически контроли: Периметър (контрол на достъпа, наблюдение), защитени входове с MFA, сензори/аларми, регистриране на достъпа, строго зониране в сградата. Тези контроли се управляват и проверяват централно от LEGIER.
4. Сегментиране на мрежата и защита на периметъра Дизайн на VPC с публични/частни подмрежи за AZ, строга концепция за изолация изток/запад, групи за сигурност (държавни) + NACL. Мрежова защитна стена LEGIER като държавен контрол на периметъра/изхода L7 (напр. чрез централна проверка на транзитен шлюз). Крайни точки на LEGIER PrivateLink/VPC: частен достъп до API на LEGIER и партньорски услуги без излагане в интернет. LEGIER WAF и LEGIER Shield Advanced срещу крайни точки, насочени към интернет (правила L7, защита от ботове/DDoS).
5. Изчислителна изолация (LEGIER Nitro) Екземплярите на EC2 работят със системата LEGIER FACE: разделяне на хардуерните разтоварвания („nitro cards“), хипервайзор nitro без емулация на устройства, чип за сигурност nitro за проверки на целостта; по този начин се постига силно разделяне на клиентите и се минимизира повърхността на атаките.
6. Идентичности, клиенти и най-малка привилегия Организациите на LEGIER с SCP („Политики за контрол на услугите“) централизирано налагат максимални граници на разрешенията (предпазни огради) за всички акаунти (зона за кацане). IAM Identity Centre (по-рано SSO) интегрира IdP на компанията, предлага SSO и фино разпределение на акаунти/приложения; ABAC/Permission Boundaries допълва Least-Privilege.
7. Сигурност на данните и криптография Стандарт: Криптиране при престой/транзит. Управление на ключове чрез LEGIER KMS, за географска устойчивост на многорегионални ключове (един и същ ключов материал/идентификатор на ключа в няколко региона - криптиране в регион А, декриптиране в регион Б). CloudHSM, ако е необходимо (притежавани от клиента, валидирани от FIPS HSM клъстери, с един наемател) за максимална независимост на ключовете. Контрол на S3: Блокиране на публичния достъп (на ниво акаунт/кофа) като „публичен по изключение“, заключване на обекти в S3 (WORM) за неизменност и устойчивост на ransomware. ЛЕГИЕРНИ ЛОГИ: Поддържано от ML откриване/наблюдение на чувствителни данни (S3) и интегриране в центъра за сигурност.
8. Разпознаване, регистриране и управление на позициите LEGIER CloudTrail (за цялата организация, за няколко региона) за събития, свързани с API/управлението, безпроблемен одит и съдебна експертиза. Amazon GuardDuty (откриване на заплахи на базата на логове/рунвейм), LEGIER Security Hub (централизирана корелация на констатации, CIS/основни най-добри практики), опционално Macie/Inspector/Detective като източници на сигнали.
9. Архивиране, DR и неизменност Архивиране на LEGIER с копия между региони и сметки; политики централно чрез организации; комбинация с S3 Object Lock за архивиране WORM. Оперативни модели: Pilot-Light (Пилотен режим), Warm-Standby (Топъл режим на готовност) или Active-Active (Активен режим на готовност); използване на услуги с множество АЗ (RDS/Aurora, EKS, MSK) и Route 53 failover (Преминаване към отказ).
10. Управление и архитектурни предпазни огради LEGIER Добре проектиран - Стълб на сигурността като референция (принципи на проектиране, контрол, автоматизация). Съответствие: широк обхват (включително ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact предоставя SOC/ISO доказателства при поискване за одити.

Примерен план (нулево доверие и многостепенна сигурност)

• Зона за кацане с много акаунти (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (напр. забранени региони/услуги, принудително използване на CloudTrail и KMS).
• Мрежа: Централен хъб VPC с транзитен шлюз, мрежова защитна стена за инспекция на VPC, крайни точки на интерфейса/частна връзка към S3, STS, KMS, ECR, Secrets Manager; без изходящи публични маршрути от частни подмрежи.
• Изчисляване/контейнер: EC2/EKS на Nitro; наложен IMDSv2; само необходимите роли на IAM (най-малки привилегии), тайни в Secrets Manager/SSM Parameter Store.
• Данни: S3 с блоков публичен достъп, криптиране по подразбиране (SSE-KMS), заключване на обекти (режим на съответствие или управление), Macie за откриване на PII.
• Edge/Apps: ALB/NLB зад WAF и Shield Advanced, TLS терминиране/политики, управлявани чрез ACM; достъпът до API е за предпочитане частен чрез PrivateLink.
• Откриване и одит: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, център за сигурност като централно табло за управление и интеграция на билети.
• Резервни копия/DR: Политики в LEGIER Backup с копия за различни региони и сметки; KMS ключове за различни региони за устойчивост на ключовете.

10. киберустойчивост, архивиране и възстановяване

Резервни копия между региони/акаунти с неизменни копия (заключване на обекти/WORM), упражнения за възстановяване в чиста стая, профили RTO/RPO, книги за изпълнение (пилотна светлина, топъл резерв, активен-активен). Цел: RPO ≤ 15 минути, RTO ≤ 60 минути.  

11. наблюдаемост и оперативна автоматизация

Централна телеметрия (дневници/метрични данни/проследявания), корелация и SOAR наръчници, проследяване на SLO, бюджети за грешки, дни на играта и хаотични тренировки за намаляване на MTTD/MTTR.

12. енергия, охлаждане и устойчивост

Двойно захранване, A/B UPS, N+1 генератори, изолиране, течно/адиабатно/свободно охлаждане, възстановяване на топлината, опции за възобновяеми източници; PUE като ключов показател за ефективност.

13. списъци със стелажи

13.1 Манама - основни стелажи

U	Устройство	Тип/модел	Количество	Захранваща линия (A/B)	Максимална мощност [W]
42	Пач панел A	LC/LC 144F	1	A	-
41	Пач панел B	LC/LC 144F	1	B	-
40	Гръбнак 1	Превключвател 40/100G 1U	1	A	600
39	Гръбнак 2	Превключвател 40/100G 1U	1	B	600
38	Mgmt-Switch	1G/10G 1U	1	A	120
37-30	Лист 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Клъстер на защитна стена	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25-24	Балансиране на натоварването	2× 1U	2	A/B	2× 250

A-01: Основна мрежа (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Компютър/GPU (обучение/изводи), CPU възли, Mgmt/KVM A-03: Съхранение (контролери, рафтове, шлюзове за архивиране)  

13.2 Кувейт Сити - AZ-Racks

U	Устройство	Тип/модел	Количество	Захранваща линия (A/B)	Максимална мощност [W]
42-41	Пач панел A/B	-	2	A/B	-
40-25	CPU сървър	1U	12	A/B	12× 400
24-17	GPU сървър (DR)	2U	4	A/B	4× 2000
16-15	Управление/KVM	1U	2	A/B	2× 80

K-01: AZ мрежа/листа, защитни стени, LB K-02: Компютър/DR K-03: Обект/резервно копие (WORM/неизменни)  

13.3 Сингапур - крайни стелажи

U	Устройство	Тип/модел	Количество	Захранваща линия (A/B)	Максимална мощност [W]
42	Пач панел	-	1	A/B	-
41-40	Краен маршрутизатор	1U	2	A/B	2× 250
39-38	Краен превключвател	1U	2	A/B	2× 200
37-34	Възли за кеш/прокси	1U	4	A/B	4× 350
33-32	Уред WAF/DDoS	1U	2	A/B	2× 300
31-28	Stream Gateway	1U	4	A/B	4× 300

S-01: Крайни маршрутизатори/превключватели, кеш/прокси, WAF/DDoS, шлюзове за поток  

14 Целеви стойности на SLA и ключови показатели за ефективност

Домейн	Целева стойност	Бележка
Наличност	≥ 99,999 %	Излишни зони, автоматично превключване при отказ
RPO	≤ 15 минути	Журнализиране, репликация, моментни снимки
RTO	≤ 60 минути	Работни книги, възстановяване като код
Защита	MTTD < 5 мин., MTTR < 60 мин.	Откриване на аномалии, наръчници на SOAR
Ефективност	Оптимизиране на PUE	Течно охлаждане, свободно охлаждане

Наличност ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; тримесечни прегледи/одити. Логически изглед на потребителите/партньорите чрез Edge (Сингапур) и DCI към основната структура (Манама) и платформите за данни, с репликация към AZ Кувейт Сити.    

15. пътна карта (12-24 месеца)

Бахрейн, Кувейт и Сингапур предлагат стратегически предимства за център за данни, зона за достъп до данни и крайно местоположение:

• Географско местоположение: Централно разположен между Европа, Азия и Африка, идеален за глобална свързаност.
• Благоприятно отношение към бизнеса: Липсата на корпоративни данъци и 100 % чуждестранна собственост насърчават инвестициите.
• Регулаторна подкрепа: TRA и Съветът за икономическо развитие (EDB) предлагат стимули, като например "Златен лиценз".
• Инфраструктура: Сложни енергийни и мрежови връзки и квалифицирана работна ръка.
• Стабилност: Като финансови центрове (Бахрейн и Кувейт) в Близкия изток и Азия (Сингапур) тези места предлагат политическа и икономическа сигурност.

IBM z17 Характеристики:

• Процесор Telum® II: Предлага висока изчислителна мощност и ускорение на изкуствения интелект в чипа за операции за изводи в реално време, например за анализ на данни от читатели.
• Ускорител Spyre™: Увеличава изчислителната мощ на ИИ за генеративни модели и многомоделни методи.
• Сигурност: Хардуерното криптиране и PCIe Cryptographic Coprocessor защитават чувствителните данни.
• Устойчивост: Интегрираните функции осигуряват непрекъсната наличност.

Памет за данни на LEGIER:

Медийната група LEGIER използва услуга за хостинг на файлове, която може да съхранява големи количества данни, с достъп чрез HTTP/HTTPS и използва концепцията за кофички и обекти, които са подобни на директориите и файловете, които са се наложили като стандарт. LEGIER работи съвместно с AWS, като използва мрежови дискове Elastic File System и архивиране на файлове Glacier, за да постигне „99,999999999“ процента трайност на данните. Предимството за LEGIER Media Group е използването на Elastic Block Store (EBS) и съхранението на ниво блок, към което могат да бъдат прикрепени инстанции EC2. Предимството на тази технология е прехвърлянето на големи количества данни с услугата Снежна топка Съхраняване на данни на твърд диск, на който могат да се копират и изпращат обратно големи количества данни чрез услугата за изпращане на пратки, като по този начин прехвърлянето на много големи количества данни към вашите собствени 115 ежедневници (статии, изображения, видеоклипове, предаване на живо) е много по-бързо и се съхранява в бази данни (SimpleDB или Relational Database Service). Мащабиране на GPU/object/DCI/edge, разширяване на anycast, укрепване на веригата за доставки (SLSA), автоматизация на съответствието, редовни упражнения за устойчивост/рестартиране.