O nás

Obsah

1. shrnutí

Na stránkách LEGIER GROUP betreibt ein mehrstufiges Datacenter-Ökosystem mit Manama (Core), Kuwait City (AZ) und Singapore (Edge). Es bietet getrennte, dennoch integrierte Ebenen für Netzwerk, Compute, Speicher, Daten, KI und Sicherheit. Ziele: Hochverfügbarkeit, Zero-Trust-Sicherheit, niedrige Latenzen und nachweisbare Compliance. Unter Genehmigung der Telekomunikační regulační úřad (TRA) v Bahrajnu, datové centrum LEGIER využívá nejmodernější technologie, například vlastní komponenty umělé inteligence, Darktrace-bezpečnostní řešení a Hlavní počítač IBM-technologie zajišťující spolehlivou, škálovatelnou a bezpečnou platformu. Bahrajn a Kuvajt nabízejí specifické výhody umístění, které optimalizují provoz. Hlavní zásady:

• Ochrana soukromí na prvním místě (KMS/HSM)
• Odolnost pro více zemí/regionů
• Zálohování napříč účty
• GitOps/IaC s podepsanými artefakty
• Provoz SRE se SLO a automatizací (SOAR)

Datové centrum v Manamě je navrženo tak, aby splňovalo náročné požadavky globální mediální společnosti:

1. Vysoká dostupnost: Provozuschopnosti 99,999 % je dosaženo díky redundantním systémům, jako jsou dva zdroje napájení, záložní generátory a zrcadlený hardware, které zajišťují nepřetržitou produkci zpráv.
2. Škálovatelnost: Infrastrukturu lze flexibilně rozšiřovat, aby zvládla rostoucí objemy dat a výpočetní požadavky - což je nezbytné pro produkci v devíti jazycích po celém světě.
3. Zpracování a ukládání dat: Miliony textových, obrazových a video datových bodů jsou zpracovávány a ukládány v reálném čase. Efektivitu zajišťují rychlé disky SSD a robustní síť SAN (Storage Area Network).
4. Podpora AI: Výkonné grafické procesory a jednotky TPU podporují komplexní pracovní zátěž umělé inteligence, jako je analýza obsahu a překlad.
5. Kybernetická bezpečnost: Citlivé údaje vyžadují pokročilou ochranu, kterou zajišťují. Darktrace-technologie.

Případy použití umělé inteligence

1. Obsahová analýza:
   • Technologie: Hluboké učení a zpracování přirozeného jazyka (NLP) pomocí modelů, jako je BERT, analyzují texty, kategorizují obsah a získávají relevantní informace.
   • Výhody: Zrychluje zpracování zpráv a zvyšuje přesnost, např. při rozpoznávání trendů nebo klíčových témat.
2. Doporučovací systémy:
   • Technologie: Strojové učení s kolaborativním filtrováním a neuronovými sítěmi přizpůsobuje obsah čtenářům.
   • Výhody: Zvyšuje loajalitu uživatelů prostřednictvím přizpůsobených doporučení ke čtení, například pro regionální nebo jazykově specifický obsah.
3. Automatizované hlášení:
   • Technologie: Generativní modely AI, jako je GPT, vytvářejí rutinní zprávy, např. o počasí nebo sportovních výsledcích.
   • Výhody: Ulehčuje redaktorům, kteří se mohou soustředit na investigativní žurnalistiku nebo komplexní analýzy.
4. Překlady v reálném čase:
   • Technologie: Nástroje AI, jako je DeepL nebo naše vlastní modely, překládají obsah do devíti jazyků v reálném čase.
   • Výhody: Umožňuje okamžité zveřejnění globálních zpráv, což je pro 115 novin klíčová výhoda.
5. Rozpoznávání obrazu a videa:
   • Technologie: Konvoluční neuronové sítě (CNN) automaticky označují a vyhodnocují vizuální obsah.
   • Výhody: Urychluje publikování multimediálního obsahu prostřednictvím automatizovaného vytváření metadat.

2. umístění a topologie

2.1 Manama (Bahrajn) - Základní region

Centralizované řízení/orchestrace, clustery GPU/CPU, úrovně objektů, SIEM/SOAR/KMS/PKI, DNS/adresář, úložiště artefaktů (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, oddělení VRF.  

2.2 Zóna dostupnosti dat (AZ) Kuvajt City

Geografická odolnost/oddělení; profily replikace podle třídy dat (synchronní/near-synchronní/asynchronní); izolované chybové domény, vyhrazené výstupní body, rozsah IAM, kapacity DR (Pilot-Light-Active-Active).  

2.3 Hranice Singapur (KDDI Asia Pacific)

Neutrální okrajový PoP operátora (CDN/caching, WAF/DDoS, streamování). Hlavní data prostřednictvím zabezpečené replikace; cíl: minimální latence v regionu APAC bez veřejné trasy v citlivých podsítích.  

3. architektura sítě a propojení

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama–Kuwait–Singapore via DWDM/MPLS, QoS für Replikation/Backups, Latenz-/Jitter-Überwachung mit dynamischer Pfadwahl. Perimeter: NGFW, L7-Inspection, DNS-Filter, Egress-Whitelisting. Ost/West-Isolation: VRF/VXLAN, SG/NACL, mTLS, JIT-Access.  

4. výpočetní, virtualizační a kontejnerová vrstva

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-Orchestrierung, GPU-Nodes (Mixed-Precision), IMDSv2, signierte Images (Cosign), SBOM-Prüfung, Admission-Controller, seccomp/AppArmor. Secrets mit KMS-Backend. Mandanten: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.  

5. úložné a datové platformy

NVMe-Flash für Low-Latency, SAN/NAS für VM-/DB-Stores, S3-Objektstore mit Versionierung, Lifecycle, WORM und Replikation Manama↔Kuwait; Edge-Caches in Singapore für Medien. Standards: Block Public Access, Default-Deny, client-/serverseitige Verschlüsselung (KMS/HSM), Write-Once-Logging, Public-by-Exception-Freigaben.  

6. plánování kapacity

6.1 Výpočet

Zdroje	Množství	Rozpočet služby na jednotku	Celkem	Poznámka
IBM z17 (mainframe)	1 rám	n/a	n/a	Odvozování transakcí/AI v blízkosti základních systémů
GPU server (2U, 8× GPU)	24 uzlů	2 kW	≈ 48 kW	Školení/odborná příprava, obrázek/video/NLP
Výpočetní CPU (1U)	80 uzlů	0,4 kW	≈ 32 kW	Web/Mikroslužby/K8s Worker
Spotřebiče TPU/AI	8 Spotřebiče	1,2 kW	≈ 9,6 kW	Specializovaná pracovní zátěž AI

6.2 Paměť

Zvířata	Kapacita	Výkon	Použijte
NVMe primary (Tier 0/1)	≈ 600 TB	≈ 12 kW	Intenzivní I/O (časopisy/hot data)
SAN/NAS (bloky/soubory)	≈ 2,5 PB	≈ 18 kW	Úložiště DB/VM/editační akcie
Paměť objektů (kompatibilní s S3)	≈ 8 PB	≈ 10 kW	Média, verze, archivy
Archivní úroveň (WORM/Cold)	≈ 20 PB	≈ 6 kW	Dlouhodobé skladování, dodržování předpisů

6.3 Síť/DCI

Komponenta	Propustnost	Technologie	Poznámka
Látkové uplinky	100/200/400 Gbit/s	Spine-Leaf, ECMP	Horizontálně škálovatelné
DCI Manama-Kuvajt	≥ 2× 100 Gbit/s	DWDM/MPLS (redundantní)	Synchronní/near-synchronní na pracovní zátěž
DCI Manáma-Singapur	≥ 2× 100 Gbit/s	Redundance poskytovatele	Ukládání do mezipaměti/streamování na hraně
Anycast/DDoS/WAF	Globální	Drhnutí hran	Ochrana a nízká latence

6.4 Energie/chlazení

Zdroje	Výklad	Cíl	Nápověda
Kolejnice UPS	A/B	N+1	Dvojí cesty
Generátory	N+1	Diesel + ATS	Čtvrtletní testy napříč zeměmi
Chlazení	Kapalinové/volné chlazení	Zlepšení PUE	Uzavření studené/horké uličky
Solární/CHP (volitelně)	Škálovatelné	Udržitelnost	Vyrovnávání špičkového zatížení

Doména	Měřítko	Opatření	Poznámka
Kapacita GPU	+50 %	Rozšíření clusteru, další stojany	Modulární rozšíření
Paměť objektu	+40 %	Prodloužení polic	Životní cyklus/archiv zvířat
Propustnost DCI	+100 %	další vlny 100G	Špičky v regionu APAC/EMEA
Okrajová pracoviště (Edge PoPs)	+2-3	APAC/EMEA	Rozšíření Anycast

+50 % GPU (8×GPU/Node, 2U) a +30 % CPU za 12-24 měsíců; hustota racku a chlazení ověřeno tepelnou simulací.

7. databáze a zasílání zpráv

Relační OLTP/OLAP, KV/sklady dokumentů, vyhledávací indexy, streaming; modely konzistence a synchronizační/asynchronizační replikace; DNS/aplikace failover, PITR, testy obnovy v čistém prostředí.  

8 pracovních zátěží platformy AI a médií

• Úložiště funkcí, registr modelů, reprodukovatelné tréninkové kanály, vysvětlitelnost/monitorování (drift/bias), správa.
• Média: překódování, DRM, personalizace, ukládání do mezipaměti.

Software:

• COBOL Upgrade Advisor for z/OS: Modernizuje starší aplikace pro Enterprise COBOL 6.
• Instana Pozorovatelnost pro Z: Monitoruje aplikace a infrastrukturu v reálném čase.
• IntelliMagic Vision pro z/OS: Optimalizuje výkon hlavního počítače.
• watsonx Asistent pro Z: Zvýšení produktivity pomocí asistenta s umělou inteligencí.
• Z Operations Unite: Zjednodušuje procesy pomocí automatizace s podporou umělé inteligence.
• Modernizace aplikací: Nástroje jako Application Delivery Foundation for z/OS, watsonx Code Assistant for Z a z/OS Connect modernizují aplikace a rozhraní API.
• Další software: CICS (zpracování transakcí), DB2 for z/OS (databáze), IMS (správa transakcí) a Omegamon (monitorování).

Z17 tvoří robustní základ pro zpracování dat a integraci umělé inteligence v datovém centru.  

9. bezpečnost a dodržování předpisů

Nulová důvěryhodnost, MFA/SSO, nejmenší oprávnění, šifrování end-to-end, podepsaný dodavatelský řetězec (SBOM/SLSA), SIEM/SOAR, auditní artefakty a záznamy o zpracování.  

9.1 Doplňkové bezpečnostní zábrany (z "LEGIER DT SEC")

1. Provozní model a globální působnost Datové centrum (pracovní zátěže) je provozováno na bázi více regionů / více oblastí: V regionu A je produkční provoz (minimálně 3 AZ), v regionu B je synchronizovaný provoz (DR/Active-Active v závislosti na RPO/RTO). LEGIER poskytuje globálně distribuované regiony a zóny dostupnosti, které jsou fyzicky oddělené a energeticky/chladicí/síťově nezávislé.
2. "Model sdílené odpovědnosti" LEGIER odpovídá za bezpečnost cloudu (fyzické umístění, hardware, virtualizace, základní služby). Zákazníci odpovídají za bezpečnost v cloudu (identity, síť, data, vrstva operačního systému/kontejneru/aplikací). Tento model určuje architekturu, kontroly a audity ve všech vrstvách.
3. Fyzická bezpečnost Vícevrstvé fyzické ovládání: V budově je přísné zónování, zabezpečené vstupy s MFA, senzory/alarmy, zaznamenávání přístupu. Tyto kontroly jsou provozovány a kontrolovány centrálně společností LEGIER.
4. Segmentace sítě a ochrana perimetru Návrh VPC s veřejnou/privátní podsítí pro jednotlivé AZ, striktní koncept izolace východ/západ, skupiny zabezpečení (stavové) + NACL. Síťový firewall LEGIER jako stavová kontrola perimetru/elegrace L7 (např. prostřednictvím centrální kontroly tranzitní brány). Koncové body LEGIER PrivateLink/VPC: Privátní přístup k rozhraním API LEGIER a partnerským službám bez vystavení na internetu. LEGIER WAF & LEGIER Shield Advanced proti koncovým bodům směřujícím do internetu (pravidla L7, ochrana proti botům/DDoS).
5. Výpočetní izolace (LEGIER Nitro) Instance EC2 běží na systému LEGIER FACE: oddělení hardwarových zátěží ("nitro cards"), štíhlý hypervizor nitro bez emulace zařízení, bezpečnostní čip nitro pro kontrolu integrity; tedy silné oddělení klientů a minimalizovaný povrch útoku.
6. Identity, klienti a nejmenší výsady LEGIER Organizations s SCP ("Service Control Policies") centrálně vynucuje maximální limity oprávnění (guardrails) pro všechny účty (landing zone). IAM Identity Centre (dříve SSO) integruje firemní IdP, nabízí SSO & jemné přiřazování účtům/aplikacím; ABAC/Permission Boundaries doplňuje Least-Privilege.
7. Zabezpečení dat a kryptografie Standard: Šifrování v klidu/při tranzitu. Správa klíčů prostřednictvím LEGIER KMS, pro geo-odolnost víceregionálních klíčů (stejný klíčový materiál/identifikátor klíče v několika regionech - šifrování v regionu A, dešifrování v regionu B). CloudHSM v případě potřeby (clustery HSM ve vlastnictví zákazníka, validované podle FIPS, s jedním nájemcem) pro maximální suverenitu klíčů. Řízení S3: Blokování veřejného přístupu (na úrovni účtu/bucketu) jako "public-by-exception", uzamčení objektu S3 (WORM) pro neměnnost a odolnost proti ransomwaru. LEGIER LOGS: Detekce/monitorování citlivých dat (S3) s podporou ML a integrace do Security Hub.
8. Rozpoznávání, zaznamenávání a správa postojů LEGIER CloudTrail (pro celou organizaci, více regionů) pro události API/správy, bezproblémový audit a forenzní analýzu. Amazon GuardDuty (detekce hrozeb na základě protokolů/runtime), LEGIER Security Hub (centralizovaná korelace nálezů, CIS/Foundational Best Practices), volitelné Macie/Inspector/Detective jako zdroje signálů.
9. Zálohování, DR a neměnnost Zálohování LEGIER s kopiemi napříč regiony a účty; zásady centrálně prostřednictvím organizací; kombinace se zámkem objektů S3 pro zálohování WORM. Provozní modely: Pilot-Light, Warm-Standby nebo Active-Active; využití služeb více AZ (RDS/Aurora, EKS, MSK) a Route 53 failover.
10. Řízení a architektonická ochranná zábradlí LEGIER Well-Architected - Security Pillar jako reference (principy návrhu, kontroly, automatizace). Soulad: široké pokrytí (včetně ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact poskytuje důkazy SOC/ISO na vyžádání pro audity.

Příklad plánu (nulová důvěryhodnost a víceúrovňové zabezpečení)

• Přistávací zóna pro více účtů (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (např. zakázané oblasti/služby, vynucené použití CloudTrail a KMS).
• Síť: Centrální centrum VPC s tranzitní bránou, síťová kontrola firewallem VPC, koncové body rozhraní/privátní propojení na S3, STS, KMS, ECR, Secrets Manager; žádné odchozí veřejné trasy z privátních podsítí.
• Počítač/kontejner: EC2/EKS na Nitro; vynuceno IMDSv2; pouze nezbytné role IAM (nejmenší oprávnění), Secrets ve Správci tajemství/Úložiště parametrů SSM.
• Data: S3 s veřejným blokovým přístupem, výchozí šifrování (SSE-KMS), zámek objektu (režim shody nebo správy), Macie pro detekci PII.
• Hrana/Aplikace: ALB/NLB za WAF a Shield Advanced, ukončení TLS/politiky spravované přes ACM; přístup k API nejlépe soukromý přes PrivateLink.
• Detekce a audit: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logy/route 53 resolver logy, security hub jako centrální dashboard a ticket integrace.
• Zálohování/DR: Zásady v LEGIER Backup s kopiemi napříč regiony a účty; klíče KMS pro více regionů pro zajištění odolnosti klíčů.

10. kybernetická odolnost, zálohování a obnova

Zálohování napříč oblastmi/účty s neměnnými kopiemi (zámek objektu/WORM), obnovovací vrty v čisté místnosti, profily RTO/RPO, runbooky (pilotní, teplý pohotovostní režim, aktivní-aktivní). Cíl: RPO ≤ 15 min, RTO ≤ 60 min.  

11. sledovatelnost a provozní automatizace

Centrální telemetrie (protokoly/metriky/sledování), korelace a SOAR playbooky, sledování SLO, rozpočty chyb, herní dny a chaotická cvičení pro snížení MTTD/MTTR.

12. energie, chlazení a udržitelnost

Dvojité napájení, A/B UPS, N+1 generátory, kontejnment, kapalinové/adiabatické/volné chlazení, rekuperace tepla, možnosti obnovitelných zdrojů; PUE jako klíčový ukazatel účinnosti.

13. seznamy stojanů

13.1 Manama - Základní regály

U	Zařízení	Typ/model	Množství	Přívodní vedení (A/B)	Maximální výkon [W]
42	Patch panel A	LC/LC 144F	1	A	-
41	Patch panel B	LC/LC 144F	1	B	-
40	Páteř 1	Přepínač 40/100G 1U	1	A	600
39	Páteř 2	Přepínač 40/100G 1U	1	B	600
38	Mgmt-Switch	1G/10G 1U	1	A	120
37-30	List 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Cluster brány firewall	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25-24	Vyrovnávač zatížení	2× 1U	2	A/B	2× 250

A-01: Základní síť (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Výpočetní jednotky/GPU (školení/inference), uzly CPU, Mgmt/KVM A-03: Úložiště (řadiče, police, záložní brány)  

13.2 Kuvajt City - AZ-Racks

U	Zařízení	Typ/model	Množství	Přívodní vedení (A/B)	Maximální výkon [W]
42-41	Patch panel A/B	-	2	A/B	-
40-25	CPU server	1U	12	A/B	12× 400
24-17	GPU server (DR)	2U	4	A/B	4× 2000
16-15	Správa/KVM	1U	2	A/B	2× 80

K-01: AZ síť/list, firewally, LB K-02: Výpočetní technika/DR K-03: Objekt/zálohování (WORM/Immutable)  

13.3 Singapur - Hranatý stojan

U	Zařízení	Typ/model	Množství	Přívodní vedení (A/B)	Maximální výkon [W]
42	Patch panel	-	1	A/B	-
41-40	Směrovač Edge	1U	2	A/B	2× 250
39-38	Přepínač hran	1U	2	A/B	2× 200
37-34	Uzly mezipaměti/proxy serveru	1U	4	A/B	4× 350
33-32	Zařízení WAF/DDoS	1U	2	A/B	2× 300
31-28	Brána Stream Gateway	1U	4	A/B	4× 300

S-01: Krajní směrovače/přepínače, cache/proxy, WAF/DDoS, streamové brány  

14 Cílové hodnoty SLA a KPI

Doména	Cílová hodnota	Poznámka
Dostupnost	≥ 99,999 %	Redundantní zóny, automatické převzetí služeb při selhání
RPO	≤ 15 minut	Žurnálování, replikace, snímky
RTO	≤ 60 minut	Knihy úloh, obnova jako kód
Zabezpečení	MTTD < 5 min., MTTR < 60 min.	Detekce anomálií, příručky SOAR
Efektivita	Optimalizace PUE	Kapalinové chlazení, volné chlazení

Dostupnost ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; čtvrtletní revize/audity. Logické zobrazení uživatelů/partnerů prostřednictvím Edge (Singapur) a DCI do hlavní struktury (Manama) a datových platforem s replikací do AZ Kuwait City.    

15. plán (12-24 měsíců)

Bahrajn, Kuvajt a Singapur nabízejí strategické výhody pro datové centrum, zónu dostupnosti dat a okrajové umístění:

• Zeměpisná poloha: Centrální poloha mezi Evropou, Asií a Afrikou je ideální pro globální spojení.
• Obchodní vstřícnost: Žádné korporátní daně a 100 % zahraničního vlastnictví podporují investice.
• Regulační podpora: TRA a Rada pro hospodářský rozvoj (EDB) nabízejí pobídky, jako je zlatá licence.
• Infrastruktura: Důmyslné energetické a síťové připojení a kvalifikovaná pracovní síla.
• Stabilita: Jako finanční centra (Bahrajn a Kuvajt) na Blízkém východě a v Asii (Singapur) nabízejí tato místa politickou a ekonomickou bezpečnost.

IBM z17 Funkce:

• Procesor Telum® II: Nabízí vysoký výpočetní výkon a akceleraci AI na čipu pro inferenční operace v reálném čase, např. pro analýzu čtenářských dat.
• Spyre™ Accelerator: Zvyšuje výpočetní výkon umělé inteligence pro generativní modely a metody s více modely.
• Zabezpečení: Hardwarové šifrování a kryptografický koprocesor PCIe chrání citlivá data.
• Odolnost: Integrované funkce zajišťují nepřetržitou dostupnost.

Datová paměť LEGIER:

Die LEGIER-Mediengruppe nutzt einen Filehosting-Dienst welcher große Datenmengen speichern kann wobei der Zugriff über HTTP/HTTPS erfolgt und das Konzept der Buckets und Objects nutzt, die Verzeichnissen und Dateien ähneln, welche sich als Standard etabliert haben. Hierbei arbeitet LEGIER mit AWS zusammen, wobei mit Elastic File System Netzlaufwerken und mit Glacier Archivierung von Dateien eine „99,999999999“-prozentige Haltbarkeit von Daten erreicht werden soll. Der Vorteil für die LEGIER Mediengruppe ist die Nutzung von Elastic Block Store (EBS) und Speichern auf Blockebene an der EC2-Instanzen angehängt werden können. Der Vorteil dieser Technologie ist der Transfer großer Datenmengen mit dem Service Sněhová koule Festplattenspeicher, auf welchem große Datenmengen kopiert werden können und per Paketdienst zurückgeschickt werden, wobei der Transfer sehr großer Datenmengen zu den eigenen 115 Tageszeitungen (Artikel, Bilder, Videos, Live-Stream) deutlich schneller erfolgt und in Datenbanken (entweder SimpleDB oder Relational Database Service) abgelegt werden. Skalierung GPU/Objekt/DCI/Edge, Ausbau Anycast, Lieferkette (SLSA) härten, Compliance-Automation, regelmäßige Resilienz-/Wiederanlauf-Übungen.