À propos de nous

Table des matières

1. résumé exécutif

Le site GROUPE LEGIER betreibt ein mehrstufiges Datacenter-Ökosystem mit Manama (Core), Kuwait City (AZ) und Singapore (Edge). Es bietet getrennte, dennoch integrierte Ebenen für Netzwerk, Compute, Speicher, Daten, KI und Sicherheit. Ziele: Hochverfügbarkeit, Zero-Trust-Sicherheit, niedrige Latenzen und nachweisbare Compliance. Unter Genehmigung der Autorité de régulation des télécommunications (TRA) à Bahreïn, le centre de données LEGIER utilise des technologies de pointe comme ses propres composants d'intelligence artificielle, Darktrace-Solutions de sécurité et Mainframe IBM-pour garantir une plateforme fiable, évolutive et sécurisée. Bahreïn et le Koweït offrent à cet égard des avantages spécifiques en termes de localisation qui optimisent l'exploitation. Principes directeurs :

• Priorité à la vie privée (KMS/HSM)
• Résilience multi-AZ/régionale
• Sauvegardes de comptes croisés
• GitOps/IaC avec des artefacts signés
• Fonctionnement SRE avec SLOs et automatisation (SOAR)

Le centre de données de Manama a été conçu pour répondre aux besoins exigeants d'une entreprise de médias mondiale :

1. Haute disponibilité : Un temps de fonctionnement de 99,999 % est obtenu grâce à des systèmes redondants tels que des sources d'alimentation doubles, des groupes électrogènes de secours et du matériel en miroir afin d'assurer la production continue de messages.
2. l'évolutivité : L'infrastructure peut être étendue de manière flexible pour faire face à l'augmentation des volumes de données et des exigences de calcul, ce qui est essentiel pour la production en neuf langues dans le monde entier.
3. Traitement et stockage des données : Des millions de points de données texte, image et vidéo sont traités et stockés en temps réel. Des disques SSD rapides et un réseau de stockage (SAN) robuste garantissent l'efficacité.
4. Prise en charge de l'IA : Des GPU et des TPU puissants prennent en charge des charges de travail d'IA complexes telles que l'analyse de contenu et la traduction.
5. la cybersécurité : Les données sensibles nécessitent une protection avancée qui passe par Darktrace-La plupart des technologies de l'information et de la communication sont couvertes par les technologies de l'information et de la communication.

Cas d'utilisation de l'IA

1. Analyse de contenu :
   • la technologie : L'apprentissage profond et le traitement du langage naturel (NLP) avec des modèles comme BERT analysent les textes, catégorisent les contenus et extraient les informations pertinentes.
   • Utilité : Accélère le traitement des messages et améliore la précision, par exemple lors de la détection de tendances ou de thèmes clés.
2. Systèmes de recommandation :
   • la technologie : L'apprentissage automatique avec le filtrage collaboratif et les réseaux neuronaux personnalise le contenu pour les lecteurs.
   • Utilité : Augmente l'engagement des utilisateurs grâce à des recommandations de lecture sur mesure, par exemple pour des contenus régionaux ou spécifiques à une langue.
3. Rapports automatisés :
   • la technologie : Les modèles d'IA génératifs tels que GPT produisent des rapports de routine, par exemple des résultats météorologiques ou sportifs.
   • Utilité : Allège la charge de travail des rédacteurs qui peuvent se concentrer sur le journalisme d'investigation ou les analyses complexes.
4. Traduction en temps réel :
   • la technologie : Des outils d'IA comme DeepL ou des modèles personnels traduisent le contenu en neuf langues en temps réel.
   • Utilité : Permet la publication instantanée de nouvelles mondiales, un avantage clé pour les 115 journaux.
5. Reconnaissance d'images et de vidéos :
   • la technologie : Les réseaux neuronaux convolutifs (CNN) taguent et évaluent automatiquement les contenus visuels.
   • Utilité : Accélère la publication de contenus multimédias grâce à la création automatisée de métadonnées.

2. sites & topologie

2.1 Manama (Bahreïn) - Core-Region

Contrôle/orchestration central(e), clusters GPU/CPU, niveaux d'objets, SIEM/SOAR/KMS/PKI, DNS/Directory, référentiels d'objets (SBOM). Fabrique Spine-Leaf 100/200/400G, ECMP, séparation VRF.  

2.2 Zone de disponibilité des données (ZD) de la ville de Koweït

Résilience géographique/découplage ; profils de réplication par classe de données (synchrone/proche-synchrone/asynchrone) ; domaines d'erreur isolés, points d'évacuation dédiés, scopie IAM, capacités DR (Pilot-Light-Active-Active).  

2.3 Site Edge de Singapour (KDDI Asia Pacific)

Edge-PoP neutre par rapport à l'opérateur (CDN/caching, WAF/DDoS, streaming). Données maîtres via réplication sécurisée ; objectif : latence APAC minimale sans route publique dans les sous-réseaux sensibles.  

3. architecture de réseau & d'interconnexion

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama–Kuwait–Singapore via DWDM/MPLS, QoS für Replikation/Backups, Latenz-/Jitter-Überwachung mit dynamischer Pfadwahl. Perimeter: NGFW, L7-Inspection, DNS-Filter, Egress-Whitelisting. Ost/West-Isolation: VRF/VXLAN, SG/NACL, mTLS, JIT-Access.  

4. couche de calcul, de virtualisation et de conteneurs

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-Orchestrierung, GPU-Nodes (Mixed-Precision), IMDSv2, signierte Images (Cosign), SBOM-Prüfung, Admission-Controller, seccomp/AppArmor. Secrets mit KMS-Backend. Mandanten: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.  

5. plates-formes de stockage et de données

NVMe-Flash für Low-Latency, SAN/NAS für VM-/DB-Stores, S3-Objektstore mit Versionierung, Lifecycle, WORM und Replikation Manama↔Kuwait; Edge-Caches in Singapore für Medien. Standards: Block Public Access, Default-Deny, client-/serverseitige Verschlüsselung (KMS/HSM), Write-Once-Logging, Public-by-Exception-Freigaben.  

6. planification des capacités

6.1 Calcul

Ressource	Quantité	Budget des prestations par unité	Total	Remarque
IBM z17 (cadre mainframe)	1 cadre	n/a	n/a	Transaction/inférence IA près des systèmes centraux
Serveur GPU (2U, 8× GPU)	24 nœuds	2 kW	≈ 48 kW	Formation/Inférence, Image/Vidéo/NLP
Compute CPU (1U)	80 nœuds	0,4 kW	≈ 32 kW	Travailleur Web/Microservices/K8s
Appliances TPU/AI	8 Appliances	1,2 kW	≈ 9,6 kW	Charges de travail spécialisées en IA

6.2 Mémoire

Animal	Capacité	Puissance	Utilisation
NVMe primaire (Tier 0/1)	≈ 600 TB	≈ 12 kW	Intensif en E/S (journaux/données chaudes)
SAN/NAS (bloc/fichier)	≈ 2,5 PB	≈ 18 kW	Magasins DB/VM/partage de la rédaction
Mémoire d'objets (compatible S3)	≈ 8 PB	≈ 10 kW	Médias, versions, archives
Animal d'archive (WORM/Cold)	≈ 20 PB	≈ 6 kW	Classement à long terme, conformité

6.3 Réseau/DCI

Composant	Débit	Technique	Remarque
Liens ascendants en tissu	100/200/400 Gbit/s	Spine-Leaf, ECMP	Évolutif horizontalement
DCI Manama-Koweït	≥ 2× 100 Gbit/s	DWDM/MPLS (redondant)	Synchrone/proche-synchrone par charge de travail
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Redondance du fournisseur d'accès	Mise en cache de l'extrémité/diffusion en continu
Anycast/DDoS/WAF (antivirus, antispam, etc.)	Global	Edge-Scrubbing	Protection & faible latence

6.4 Énergie/refroidissement

Ressource	Interprétation	Objectif	Remarque
Rails UPS	A/B	N+1	Chemins doubles
Générateurs	N+1	Diesel + ATS	Tests de ski de fond trimestriels
Refroidissement	Liquide/free-cooling	Amélioration du PUE	Confinement des allées froides/chaudes
Solaire/cogénération (en option)	Évolutif	Durabilité	Lissage des pics de charge

Domaine	Mise à l'échelle	Mesure	Remarque
Capacité du GPU	+50 %	Extension du cluster, racks supplémentaires	Extension modulaire
Mémoire d'objets	+40 %	Extensions de shelf	Cycle de vie/animal d'archive
Débit DCI	+100 %	ondes 100G supplémentaires	Pics APAC/EMEA
Edge-PoPs	+2-3	APAC/EMEA	Élargissement de l'anycast

+50 % GPU (8×GPU/Node, 2U) et +30 % CPU en 12-24 mois ; densités de rack & refroidissement validés par simulation thermique.

7. bases de données & messagerie

OLTP/OLAP relationnel, KV/stocks de documents, index de recherche, streaming ; modèles de cohérence et réplication sync/async ; basculement DNS/application, PITR, tests de restauration en salle blanche.  

8. plate-forme d'IA & charges de travail médiatiques

• Feature-Store, registre de modèles, pipelines de formation reproductibles, explicabilité/monitoring (dérive/biais), gouvernance.
• Médias : transcodage, DRM, personnalisation, edge-caching.

Logiciel :

• Conseiller de mise à niveau COBOL pour z/OS : Modernise les applications héritées pour Enterprise COBOL 6.
• Observabilité Instana pour Z : Surveille les applications et l'infrastructure en temps réel.
• IntelliMagic Vision pour z/OS : Optimise les performances de l'ordinateur central.
• watsonx Assistant for Z : Augmente la productivité grâce à un assistant IA.
• Z Operations Unite : Simplifie les processus grâce à l'automatisation basée sur l'IA.
• Modernisation des applications : Des outils comme Application Delivery Foundation for z/OS, watsonx Code Assistant for Z et z/OS Connect modernisent les applications et les API.
• Autres logiciels : CICS (traitement des transactions), DB2 for z/OS (base de données), IMS (gestion des transactions), et Omegamon (supervision).

Le z17 constitue une base robuste pour le traitement des données et l'intégration de l'IA dans le centre de données.  

9. sécurité et conformité

Confiance zéro, MFA/SSO, privilège minimum, chiffrement de bout en bout, chaîne d'approvisionnement signée (SBOM/SLSA), SIEM/SOAR, artefacts d'audit et enregistrements de traitement.  

9.1 Glissières de sécurité complémentaires (de „LEGIER DT SEC“)

1. Modèle d'exploitation & Empreinte globale Le centre de calcul (workloads) est exploité multi-région / multi-AZ : Production dans la région A (au moins 3 AZ), exploitation synchrone dans la région B (DR/Active-Active selon RPO/RTO). Pour ce faire, LEGIER met à disposition des régions et des Availability Zones réparties dans le monde entier, qui sont physiquement séparées et indépendantes en termes d'énergie/refroidissement/réseau.
2. „Modèle de responsabilité partagée“ LEGIER est responsable de la sécurité du cloud (sites physiques, matériel, virtualisation, services de base). Les clients sont responsables de la sécurité dans le cloud (identités, réseau, données, OS/conteneur/couche d'applications). Ce modèle détermine l'architecture, les contrôles et les audits sur toutes les couches.
3. Sécurité physique Contrôles physiques à plusieurs niveaux : Périmètre (contrôles d'accès, surveillance), entrées sécurisées avec MFA, capteurs/alarmes, journalisation des accès, zonage strict dans le bâtiment. Ces contrôles sont gérés et vérifiés de manière centralisée par LEGIER.
4. Segmentation du réseau & protection du périmètre Conception VPC avec subnetting public/privé par AZ, concept d'isolation est/ouest strict, Security Groups (avec état) + NACLs. Pare-feu réseau LEGIER en tant que contrôle stateful L7 du périmètre/de l'accès (par ex. via l'inspection centrale de la passerelle de transit). LEGIER PrivateLink/VPC Endpoints : accès privé aux API LEGIER et aux services partenaires sans exposition à Internet. LEGIER WAF & LEGIER Shield Advanced devant les points d'accès à Internet (règles L7, protection Bot/DDoS).
5. Isolation du calcul (LEGIER Nitro) Les instances EC2 fonctionnent sur le système LEGIER FACE : séparation des décharges matérielles („Nitro Cards“), hyperviseur Nitro allégé sans émulation d'appareil, puce de sécurité Nitro pour le contrôle d'intégrité ; d'où une forte séparation des mandants et une surface d'attaque minimisée.
6. Identités, mandants & privilèges de la dernière chance LEGIER Organizations avec SCP („Service Control Policies“) impose de manière centralisée des limites maximales d'autorisations (Guardrails) pour tous les comptes (Landing Zone). IAM Identity Center (anciennement SSO) intègre l'IdP de l'entreprise, offre le SSO & l'attribution finement granulaire aux comptes/applications ; ABAC/Permission Boundaries complètent le moindre privilège.
7. Sécurité des données & cryptographie Standard : cryptage at-rest/in-transit. Gestion des clés via LEGIER KMS, pour la géo-résilience Multi-Region Keys (même matériel/identifiant de clé dans plusieurs régions - encrypt dans la région A, decrypt dans la région B). CloudHSM si nécessaire (clusters HSM propres au client, validés FIPS, single-tenant) pour une souveraineté maximale des clés. Contrôles S3 : Block Public Access (Account/Bucket-Level) comme „Public-by-Exception“, S3 Object Lock (WORM) pour l'inaltérabilité & la résilience aux ransomwares. LEGIER LOGS : détection/surveillance des données sensibles (S3) assistée par ML et intégration dans Security Hub.
8. Détection, enregistrement et gestion de la posture LEGIER CloudTrail (sur l'ensemble de l'organisation, multi-région) pour les événements API/gestion, l'audit complet et l'expertise. Amazon GuardDuty (détection des menaces basée sur les journaux/l'exécution), LEGIER Security Hub (corrélation centrale des découvertes, CIS/Foundational Best Practices), en option Macie/Inspector/Detective comme sources de signaux.
9. Sauvegarde, DR & inaltérabilité Sauvegarde LEGIER avec copies inter-régions et inter-comptes ; politiques centralisées via Organizations ; combinaison avec S3 Object Lock pour la sauvegarde WORM. Modèles d'exploitation : Pilot-Light, Warm-Standby ou Active-Active ; utilisation de services multi-AZ (RDS/Aurora, EKS, MSK) et basculement Route 53.
10. Gouvernance et garde-fous architecturaux LEGIER Well-Architected - Security Pillar comme référence (principes de conception, contrôles, automatisation). Conformité : large couverture (entre autres ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...) ; LEGIER Artifact fournit des preuves SOC/ISO à la demande pour les audits.

Exemple de Blueprint (Zero-Trust & sécurité à plusieurs niveaux)

• Multi-Account Landing Zone (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (par ex. régions/services interdits, utilisation forcée de CloudTrail & KMS).
• Réseau : Hub VPC central avec Transit Gateway, Network Firewall-Inspection VPC, Interface-Endpoints/PrivateLink vers S3, STS, KMS, ECR, Secrets Manager ; pas de Public-Routes sortants de Private Subnets.
• Compute/Container : EC2/EKS sur Nitro ; IMDSv2 forcé ; seulement les rôles IAM nécessaires (least privilege), Secrets dans Secrets Manager/SSM Parameter Store.
• Données : S3 avec accès public par bloc, chiffrement par défaut (SSE-KMS), verrouillage d'objet (mode conformité ou gouvernance), Macie pour la détection des IIP.
• Edge/Apps : ALB/NLB derrière WAF & Shield Advanced, terminaisons/politiques TLS gérées par ACM ; accès API de préférence privé via PrivateLink.
• Détection et audit : CloudTrail à l'échelle de l'organisation + bucket de logs S3 (WORM), GuardDuty/VPC Flow Logs/Route 53 Resolver Logs, Security Hub comme tableau de bord central & intégration de tickets.
• Sauvegardes/DR : politiques dans LEGIER Backup avec copies inter-régions & inter-comptes ; clés multi-régions KMS pour la résilience des clés.

10. cyber-résilience, sauvegardes et récupération

Sauvegardes cross-region/account avec copies inaltérables (Object-Lock/WORM), Restore-Drills dans la salle blanche, profils RTO/RPO, Runbooks (Pilot-Light, Warm-Standby, Active-Active). Objectif : RPO ≤ 15 min, RTO ≤ 60 min.  

11) Observabilité et automatisation des opérations

Télémétrie centralisée (logs/métriques/traces), corrélation & playbooks SOAR, suivi SLO, budgets d'erreur, Game Days et Chaos-Drills pour la réduction MTTD/MTTR.

12. énergie, refroidissement et durabilité

Double alimentation, ASI A/B, générateurs N+1, confinement, refroidissement liquide/adiabatique/free-cooling, récupération de chaleur, options renouvelables ; PUE comme KPI d'efficacité.

13. listes de racks

13.1 Manama - Core-Racks

U	Appareil	Type/Modèle	Nombre	Câble d'alimentation (A/B)	Puissance max [W]
42	Panneau de brassage A	LC/LC 144F	1	A	-
41	Panneau de brassage B	LC/LC 144F	1	B	-
40	Épine 1	Commutateur 40/100G 1U	1	A	600
39	Spine 2	Commutateur 40/100G 1U	1	B	600
38	Commutateur Mgmt	1G/10G 1U	1	A	120
37-30	Feuille 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Cluster de pare-feu	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	DDoS Edge	1U	1	B	200
25-24	Équilibreur de charge	2× 1U	2	A/B	2× 250

A-01: Core-Netz (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Compute/GPU (Training/Inferenz), CPU-Nodes, Mgmt/KVM A-03: Storage (Controller, Shelves, Backup-Gateways)  

13.2 Kuwait City - AZ-Racks

U	Appareil	Type/Modèle	Nombre	Câble d'alimentation (A/B)	Puissance max [W]
42-41	Panneau de brassage A/B	-	2	A/B	-
40-25	Serveur CPU	1U	12	A/B	12× 400
24-17	Serveur GPU (DR)	2U	4	A/B	4× 2000
16-15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: AZ-Netz/Leaf, Firewalls, LB K-02: Compute/DR K-03: Objekt/Backup (WORM/Immutable)  

13.3 Singapore - Rack d'extrémité

U	Appareil	Type/Modèle	Nombre	Câble d'alimentation (A/B)	Puissance max [W]
42	Panneau de brassage	-	1	A/B	-
41-40	Routeur de périphérie	1U	2	A/B	2× 250
39-38	Commutateur d'extrémité	1U	2	A/B	2× 200
37-34	Nœuds de cache/proxy	1U	4	A/B	4× 350
33-32	Appliance WAF/DDoS	1U	2	A/B	2× 300
31-28	Passerelle de flux	1U	4	A/B	4× 300

S-01 : Routeurs/commutateurs de périphérie, cache/proxy, WAF/DDoS, passerelles de flux  

14. valeurs cibles SLA & KPIs

Domaine	Valeur cible	Remarque
Disponibilité	≥ 99,999 %	Zones redondantes, basculement automatique
RPO	≤ 15 minutes	Journalisation, réplication, snapshots
RTO	≤ 60 minutes	Runbooks, Recovery-as-Code
Sécurité	MTTD < 5 min., MTTR < 60 min.	Détection d'anomalies, playbooks SOAR
Efficacité	Optimisation du PUE	Refroidissement liquide, free-cooling

Verfügbarkeit ≥ 99,999 %, MTTD < 5 Min., MTTR < 60 Min., RPO ≤ 15 Min., RTO ≤ 60 Min.; quartalsweise Reviews/Audits. Logische Ansicht von Nutzern/Partnern über Edge (Singapore) und DCI in die Core-Fabric (Manama) und Datenplattformen, mit Replikation in die AZ Kuwait City.    

15. feuille de route (12-24 mois)

Bahreïn et le Koweït, ainsi que Singapour, offrent des avantages stratégiques pour le centre de données, la zone de disponibilité des données et l'emplacement de la périphérie :

• Situation géographique : Central entre l'Europe, l'Asie et l'Afrique, idéal pour la connectivité mondiale.
• Convivialité commerciale : L'absence d'impôts sur les sociétés et 100 % de propriété étrangère encouragent les investissements.
• Soutien réglementaire : La TRA et l'Economic Development Board (EDB) proposent des incitations telles que la Golden License.
• Infrastructure : Des connexions électriques et de réseau sophistiquées et une main-d'œuvre qualifiée.
• la stabilité : En tant que centre financier (Bahreïn et Koweït) au Moyen-Orient et en Asie (Singapour), les sites mentionnés offrent une sécurité politique et économique.

Caractéristiques de l'IBM z17 :

• Processeur Telum® II : Offre une grande puissance de calcul et une accélération de l'IA sur puce pour les opérations d'inférence en temps réel, par exemple pour l'analyse des données des lecteurs.
• Accélérateur Spyre™ : Augmente la puissance de calcul de l'IA pour les modèles génératifs et les méthodes multi-modèles.
• la sécurité : Le cryptage basé sur le matériel et le coprocesseur cryptographique PCIe protègent les données sensibles.
• La résilience : Les fonctions intégrées assurent une disponibilité continue.

Mémoire de données LEGIER :

Die LEGIER-Mediengruppe nutzt einen Filehosting-Dienst welcher große Datenmengen speichern kann wobei der Zugriff über HTTP/HTTPS erfolgt und das Konzept der Buckets und Objects nutzt, die Verzeichnissen und Dateien ähneln, welche sich als Standard etabliert haben. Hierbei arbeitet LEGIER mit AWS zusammen, wobei mit Elastic File System Netzlaufwerken und mit Glacier Archivierung von Dateien eine „99,999999999“-prozentige Haltbarkeit von Daten erreicht werden soll. Der Vorteil für die LEGIER Mediengruppe ist die Nutzung von Elastic Block Store (EBS) und Speichern auf Blockebene an der EC2-Instanzen angehängt werden können. Der Vorteil dieser Technologie ist der Transfer großer Datenmengen mit dem Service Boule de neige Festplattenspeicher, auf welchem große Datenmengen kopiert werden können und per Paketdienst zurückgeschickt werden, wobei der Transfer sehr großer Datenmengen zu den eigenen 115 Tageszeitungen (Artikel, Bilder, Videos, Live-Stream) deutlich schneller erfolgt und in Datenbanken (entweder SimpleDB oder Relational Database Service) abgelegt werden. Skalierung GPU/Objekt/DCI/Edge, Ausbau Anycast, Lieferkette (SLSA) härten, Compliance-Automation, regelmäßige Resilienz-/Wiederanlauf-Übungen.