O nas

Vsebina

1. povzetek

Spletna stran SKUPINA LEGIER GROUP upravlja večnivojski ekosistem podatkovnih centrov v Manami (Core), Kuvajtu (AZ) in Singapurju (Edge). Ponuja ločene, a integrirane nivoje za omrežje, računalništvo, shranjevanje, podatke, umetno inteligenco in varnost. Cilji: Visoka razpoložljivost, varnost brez zaupanja, nizka latenca in dokazljiva skladnost. Z odobritvijo Regulativni organ za telekomunikacije (TRA) v Bahrajnu podatkovni center LEGIER uporablja najsodobnejše tehnologije, kot so lastne komponente umetne inteligence, Darktrace-varnostne rešitve in IBM-ov glavni računalnik-tehnologijo za zagotavljanje zanesljive, razširljive in varne platforme. Bahrajn in Kuvajt ponujata posebne lokacijske prednosti, ki optimizirajo delovanje. Vodilna načela:

• Najprej zasebnost (KMS/HSM)
• Odpornost za več držav/regij
• Varnostne kopije med računi
• GitOps/IaC s podpisanimi artefakti
• Delovanje SRE s cilji SLO in avtomatizacijo (SOAR)

Podatkovni center v Manami je zasnovan tako, da izpolnjuje zahtevne zahteve svetovnega medijskega podjetja:

1. Visoka razpoložljivost: Čas delovanja 99,999 % je dosežen z redundantnimi sistemi, kot so dvojni viri energije, rezervni generatorji in zrcalna strojna oprema, kar zagotavlja neprekinjeno produkcijo sporočil.
2. Skalabilnost: Infrastrukturo je mogoče prilagodljivo razširiti, da bo kos vedno večjim količinam podatkov in računalniškim zahtevam, kar je bistveno za produkcijo v devetih jezikih po vsem svetu.
3. Obdelava in shranjevanje podatkov: Na milijone besedilnih, slikovnih in video podatkovnih točk se obdeluje in shranjuje v realnem času. Hitri SSD-ji in robustno omrežje za shranjevanje podatkov (SAN) zagotavljajo učinkovitost.
4. Podpora umetne inteligence: Zmogljivi grafični procesorji in procesorji TPU podpirajo kompleksne delovne obremenitve umetne inteligence, kot sta analiza vsebine in prevajanje.
5. Kibernetska varnost: Za občutljive podatke je potrebna napredna zaščita, ki jo zagotavljajo Darktrace-tehnologije.

Primeri uporabe umetne inteligence

1. Analiza vsebine:
   • Tehnologija: Globoko učenje in obdelava naravnega jezika (NLP) z modeli, kot je BERT, analizirata besedila, kategorizirata vsebino in pridobivata ustrezne informacije.
   • Koristi: Pospešuje obdelavo sporočil in izboljšuje natančnost, npr. pri prepoznavanju trendov ali ključnih tem.
2. Sistemi za priporočanje:
   • Tehnologija: Strojno učenje s sodelovalnim filtriranjem in nevronskimi mrežami prilagodi vsebino bralcem.
   • Koristi: povečuje zvestobo uporabnikov s prilagojenimi priporočili za branje, na primer za regionalno ali jezikovno specifično vsebino.
3. Avtomatizirano poročanje:
   • Tehnologija: Generativni modeli umetne inteligence, kot je GPT, ustvarjajo rutinska poročila, npr. vremenske ali športne rezultate.
   • Koristi: Razbremeni urednike, ki se lahko posvetijo preiskovalnemu novinarstvu ali kompleksnim analizam.
4. Prevodi v realnem času:
   • Tehnologija: Orodja umetne inteligence, kot je DeepL, ali naši lastni modeli v realnem času prevajajo vsebino v devet jezikov.
   • Koristi: Omogoča takojšnjo objavo globalnih novic, kar je ključna prednost za 115 časopisov.
5. Prepoznavanje slik in videoposnetkov:
   • Tehnologija: Konvolucijske nevronske mreže (CNN) samodejno označujejo in ocenjujejo vizualno vsebino.
   • Koristi: Pospešuje objavo večpredstavnostne vsebine z avtomatiziranim ustvarjanjem metapodatkov.

2. lokacije in topologija

2.1 Manama (Bahrajn) - Osrednja regija

Centraliziran nadzor/usmerjanje, gruče GPU/CPU, objektni nivoji, SIEM/SOAR/KMS/PKI, DNS/imenik, repozitoriji artefaktov (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, ločevanje VRF.  

2.2 Območje razpoložljivosti podatkov (AZ) Kuvajt City

Geografska odpornost/razdruževanje; profili replikacije po podatkovnih razredih (sinhrono/near-sinhrono/asinhrono); izolirane domene napak, namenske izhodne točke, določanje obsega IAM, zmogljivosti DR (Pilot-Light-Active-Active).  

2.3 Krajna lokacija Singapur (KDDI Asia Pacific)

Neutralna robna točka PoP (CDN/pomnilnik, WAF/DDoS, pretakanje). Glavni podatki prek varne replikacije; cilj: minimalna latenca v regiji APAC brez javne poti v občutljivih podomrežjih.  

3. arhitektura omrežja in povezav

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuvajt-Singapur prek DWDM/MPLS, QoS za replikacijo/nadomestne kopije, spremljanje zakasnitev/razdraženosti z dinamično izbiro poti. Perimeter: NGFW, pregled L7, filtriranje DNS, bela lista izhoda. Izolacija vzhod/zahod: VRF/VXLAN, SG/NACL, mTLS, dostop JIT.  

4. računalniški, virtualizacijski in kontejnerski sloj

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orkestracija VM, vozlišča GPU (mešane natančnosti), IMDSv2, podpisane slike (Cosign), preverjanje SBOM, nadzornik sprejema, seccomp/AppArmor. Skrivnosti z zaledjem KMS. Odjemalci: Mreža imen/projekti, ABAC/RBAC, meje dovoljenj, privzete omrežne politike, storitvena mreža mTLS, protipripadnost.  

5. shranjevanje in podatkovne platforme

NVMe flash za nizke zakasnitve, SAN/NAS za VM/DB shrambe, objektna shramba S3 z verzioniranjem, življenjskim ciklom, WORM in replikacijo Manama↔Kuvajt; robni predpomnilniki v Singapurju za medije. Standardi: Standardi: blokiranje javnega dostopa, privzeta zavrnitev, šifriranje na strani odjemalca/strežnika (KMS/HSM), zapisovanje samo enkrat, javne delnice po izjemah.  

6. načrtovanje zmogljivosti

6.1 Izračunajte

Viri	Količina	Proračun storitev na enoto	Skupaj	Pripomba
IBM z17 (okvir glavnega računalnika)	1 okvir	n/a	n/a	Ugotavljanje transakcij/AI v bližini osrednjih sistemov
Strežnik z grafičnimi procesorji (2U, 8× GPU)	24 vozlišč	2 kW	≈ 48 kW	Usposabljanje/inferenca, slika/video/NLP
Računalniški procesor (1U)	80 vozlišč	0,4 kW	≈ 32 kW	Splet/Mikrostoritve/K8s Worker
Naprave TPU/AI	8 Aparati	1,2 kW	≈ 9,6 kW	Specializirane delovne obremenitve umetne inteligence

6.2 Pomnilnik

Žival	Zmogljivost	Uspešnost	Uporabite
Primarni NVMe (stopnja 0/1)	≈ 600 TB	≈ 12 kW	Intenziven vhodno-izhodni sistem (dnevniki/hotni podatki)
SAN/NAS (bloki/datoteke)	≈ 2,5 PB	≈ 18 kW	Skladišča DB/VM/redakcijski deleži
Pomnilnik objektov (združljiv s S3)	≈ 8 PB	≈ 10 kW	Mediji, različice, arhivi
Arhivska stopnja (WORM/Cold)	≈ 20 PB	≈ 6 kW	Dolgoročno shranjevanje, skladnost

6.3 Omrežje/DCI

Komponenta	Prepustnost	Tehnologija	Pripomba
Povezave s tkanino	100/200/400 Gbit/s	Spine-Leaf, ECMP	Vodoravno skalabilno
DCI Manama-Kuvajt	≥ 2× 100 Gbit/s	DWDM/MPLS (redundantno)	Sinhrono/blizu sinhronega na delovno obremenitev
DCI Manama-Singapur	≥ 2× 100 Gbit/s	Odpuščanje ponudnikov	Predpomnjenje/pretakanje na robu
Anycast/DDoS/WAF	Globalno	Ščetkanje robov	Zaščita in nizka latenca

6.4 Energija/hlajenje

Viri	Tolmačenje	Cilj	Namig
Tirnice UPS	A/B	N+1	Dvojne poti
Generatorji	N+1	Dizel + ATS	Četrtletni testi med državami
Hlajenje	Tekoče/prosto hlajenje	Izboljšanje PUE	Zadrževanje hladnih/vročih prehodov
Sončna energija/CHP (neobvezno)	Skalabilna	Trajnostni razvoj	Izravnava konične obremenitve

Domena	Merjenje obsega	Ukrep	Pripomba
Zmogljivost GPU	+50 %	Razširitev grozda, dodatni regali	Modularna razširitev
Pomnilnik predmetov	+40 %	Razširitve polic	Življenjski cikel/arhiv žival
Prepustnost DCI	+100 %	dodatni valovi 100G	Vrhovi v regiji APAC/EMEA
Krajevne točke PoP	+2-3	APAC/EMEA	Razširitev za poljubno oddajanje

+50 % GPU (8×GPU/Node, 2U) in +30 % CPU v 12-24 mesecih; gostota in hlajenje v stojalu sta potrjena s toplotno simulacijo.

7. podatkovne zbirke in sporočanje

Relacijski OLTP/OLAP, shrambe KV/dokumentov, iskalni indeksi, pretakanje; modeli doslednosti in replikacija sinhronizacije/asinhronizacije; prevzetje DNS/aplikacij, PITR, obnovitveni testi v čistem prostoru.  

8 platforma AI in medijske delovne obremenitve

• Hramba funkcij, register modelov, ponovljivi cevovodi za usposabljanje, razložljivost/nadzor (odstopanja/obremenitve), upravljanje.
• Mediji: prekodiranje, DRM, personalizacija, robno predpomnjenje.

Programska oprema:

• COBOL Upgrade Advisor for z/OS: Posodablja starejše aplikacije za Enterprise COBOL 6.
• Instana Opazljivost za Z: Spremlja aplikacije in infrastrukturo v realnem času.
• IntelliMagic Vision za z/OS: optimizira zmogljivost glavnega računalnika.
• watsonx Pomočnik za Z: Poveča produktivnost s pomočnikom z umetno inteligenco.
• Združite se pri operacijah Z: Poenostavlja procese z avtomatizacijo, podprto z umetno inteligenco.
• Posodobitev aplikacij: Orodja, kot so Application Delivery Foundation za z/OS, watsonx Code Assistant za Z in z/OS Connect, posodabljajo aplikacije in API-je.
• Dodatna programska oprema: CICS (obdelava transakcij), DB2 za z/OS (zbirka podatkov), IMS (upravljanje transakcij) in Omegamon (spremljanje).

Model z17 je trdna osnova za obdelavo podatkov in integracijo umetne inteligence v podatkovnem centru.  

9. varnost in skladnost

Ničelno zaupanje, MFA/SSO, najmanjši privilegiji, šifriranje od konca do konca, podpisana dobavna veriga (SBOM/SLSA), SIEM/SOAR, revizijski artefakti in evidence obdelave.  

9.1 Dodatne varnostne ovire (iz "LEGIER DT SEC")

1. Operativni model in globalni odtis Podatkovni center (delovne obremenitve) deluje na podlagi več regij / več območij: V regiji A je produkcija (vsaj 3 AZ), v regiji B pa sinhronizirano delovanje (DR/Active-Active, odvisno od RPO/RTO). LEGIER zagotavlja globalno porazdeljene regije in območja razpoložljivosti, ki so fizično ločena in neodvisna z energijo/hlajenjem/omrežjem.
2. "Model deljene odgovornosti" LEGIER je odgovoren za varnost oblaka (fizične lokacije, strojna oprema, virtualizacija, osnovne storitve). Stranke so odgovorne za varnost v oblaku (identitete, omrežje, podatki, sloj operacijskega sistema/kontejnerja/aplikacij). Ta model določa arhitekturo, nadzor in revizije na vseh ravneh.
3. Fizična varnost Večplastni fizični nadzor: V stavbi je strogo določena cona. Te kontrole centralno upravlja in preverja LEGIER.
4. Segmentacija omrežja in zaščita oboda Zasnova VPC z javnim/zasebnim podomrežjem na AZ, strog koncept izolacije vzhod/zahod, varnostne skupine (stateful) + NACL. Mrežni požarni zid LEGIER kot stalni nadzor L7 na obrobju/prihodu (npr. prek osrednjega pregleda tranzitnega prehoda). Končne točke LEGIER PrivateLink/VPC: zasebni dostop do vmesnikov API družbe LEGIER in partnerskih storitev brez izpostavljenosti internetu. LEGIER WAF in LEGIER Shield Advanced proti internetnim končnim točkam (pravila L7, zaščita pred boti/DDoS).
5. Izolacija računalnika (LEGIER Nitro) Instance EC2 delujejo na sistemu LEGIER FACE: ločitev strojne obremenitve ("kartice nitro"), vitek hipervizor nitro brez emulacije naprav, varnostni čip nitro za preverjanje celovitosti; tako je zagotovljena močna ločitev odjemalcev in čim manjša površina za napade.
6. Identitete, stranke in najmanjši privilegij LEGIER Organizacije s SCP ("Service Control Policies") centralno uveljavljajo najvišje omejitve pooblastil (varovala) za vse račune (območje pristanka). IAM Identity Centre (prej SSO) integrira IdP podjetja, ponuja SSO in fino dodeljevanje računom/aplikacijam; ABAC/Permission Boundaries dopolnjuje Least-Privilege.
7. Varnost podatkov in kriptografija Standard: Šifriranje v mirovanju/prenosu. Upravljanje ključev prek sistema LEGIER KMS, za geo-odpornost večregijskih ključev (isti ključni material/identifikator ključa v več regijah - šifriranje v regiji A, dešifriranje v regiji B). Po potrebi CloudHSM (grozdi HSM v lasti stranke, potrjeni s strani FIPS, z enim najemnikom) za čim večjo suverenost ključev. Nadzor S3: blokiranje javnega dostopa (na ravni računa/kopice) kot "javno po izjemi", zaklepanje objektov S3 (WORM) za nespremenljivost in odpornost proti izsiljevalski programski opremi. LEGIER LOGS: Zaznavanje/nadzor občutljivih podatkov (S3) s podporo ML in vključitev v varnostno vozlišče.
8. Prepoznavanje, beleženje in upravljanje drže LEGIER CloudTrail (za celotno organizacijo, več regij) za dogodke API/upravljanja, nemoteno revizijo in forenziko. Amazon GuardDuty (odkrivanje groženj na podlagi dnevnika/časa izvedbe), LEGIER Security Hub (centralizirana korelacija ugotovitev, CIS/osnovne najboljše prakse), opcijski Macie/Inspector/Detective kot viri signalov.
9. Varnostno kopiranje, DR in nespremenljivost Varnostno kopiranje LEGIER s kopijami med regijami in računi; politike centralno prek organizacij; kombinacija z zaklepanjem objektov S3 za varnostno kopiranje WORM. Modeli delovanja: Pilot-Light, Warm-Standby ali Active-Active; uporaba storitev več AZ (RDS/Aurora, EKS, MSK) in Route 53 failover.
10. Upravljanje in arhitekturne zaščitne ograje LEGIER Dobro zasnovan - varnostni steber kot referenca (načela zasnove, nadzor, avtomatizacija). Skladnost: širok obseg (vključno z ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact zagotavlja dokazila SOC/ISO na zahtevo za revizije.

Primer načrta (ničelno zaupanje in večnivojska varnost)

• Območje pristanka z več računi (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (npr. prepovedane regije/storitve, prisilna uporaba CloudTrail in KMS).
• Omrežje: VPC z osrednjim vozliščem s tranzitnim prehodom, omrežnim požarnim zidom za pregled VPC, končnimi točkami vmesnika/PrivateLink do S3, STS, KMS, ECR, Secrets Manager; brez izhodnih javnih poti iz zasebnih podomrežij.
• Računalnik/kontejner: EC2/EKS v sistemu Nitro; uveljavljen IMDSv2; samo potrebne vloge IAM (najmanjši privilegij), skrivnosti v upravitelju skrivnosti/skladišču parametrov SSM.
• Podatki: S3 z javnim dostopom do blokov, privzeto šifriranje (SSE-KMS), zaklepanje objektov (način skladnosti ali upravljanja), Macie za odkrivanje PII.
• Rob/aplikacije: ALB/NLB za WAF in Shield Advanced, zaključki/politike TLS se upravljajo prek ACM; dostop do API po možnosti zasebno prek PrivateLink.
• Odkrivanje in revizija: CloudTrail v celotnem omrežju Org + S3 log bucket (WORM), dnevniki toka GuardDuty/VPC/route 53 resolver logs, varnostno vozlišče kot osrednja nadzorna plošča in integracija vozovnic.
• Varnostne kopije/DR: politike v varnostni kopiji LEGIER z medregijskimi kopijami in kopijami med računi; večregijski ključi KMS za odpornost ključev.

10. kibernetska odpornost, varnostne kopije in obnovitev

Varnostne kopije med regijami/konti z nespremenljivimi kopijami (zaklepanje objektov/WORM), obnovitvene vaje v čistem prostoru, profili RTO/RPO, priročniki (pilotna luč, topla pripravljenost, aktivna-aktivna). Cilj: RPO ≤ 15 min, RTO ≤ 60 min.  

11. opazljivost in avtomatizacija delovanja

Centralna telemetrija (dnevniki/metrike/sledi), korelacija in priročniki SOAR, sledenje SLO, proračuni napak, dnevi igre in vaje kaosa za zmanjšanje MTTD/MTTR.

12. energija, hlajenje in trajnost

Dvojno napajanje, A/B UPS, generatorji N+1, zadrževanje, tekočinsko/adiabatsko/svobodno hlajenje, rekuperacija toplote, možnosti obnovljivih virov; PUE kot ključni kazalnik učinkovitosti.

13. seznami stojal

13.1 Manama - jedrne omare

U	Naprava	Vrsta/model	Količina	Napajalni vod (A/B)	Največja moč [W]
42	Povezovalna plošča A	LC/LC 144F	1	A	-
41	Povezovalna plošča B	LC/LC 144F	1	B	-
40	Hrbtenica 1	Stikalo 40/100G 1U	1	A	600
39	Hrbtenica 2	Stikalo 40/100G 1U	1	B	600
38	Mgmt-Switch	1G/10G 1U	1	A	120
37-30	List 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Grozd požarnega zidu	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	Rob DDoS	1U	1	B	200
25-24	Izravnalnik obremenitve	2× 1U	2	A/B	2× 250

A-01: Osrednje omrežje (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Računalnik/GPU (usposabljanje/inferenca), CPU vozlišča, Mgmt/KVM A-03: Pomnilnik (krmilniki, police, varnostni prehodi)  

13.2 Kuvajt City - AZ-Racks

U	Naprava	Vrsta/model	Količina	Napajalni vod (A/B)	Največja moč [W]
42-41	Povezovalna plošča A/B	-	2	A/B	-
40-25	CPU strežnik	1U	12	A/B	12× 400
24-17	Strežnik GPU (DR)	2U	4	A/B	4× 2000
16-15	Mgmt/KVM	1U	2	A/B	2× 80

K-01: AZ omrežje/list, požarni zidovi, LB K-02: Računalnik/DR K-03: Objekt/zaščitno kopiranje (WORM/Immutable)  

13.3 Singapur - robni regal

U	Naprava	Vrsta/model	Količina	Napajalni vod (A/B)	Največja moč [W]
42	Povezovalna plošča	-	1	A/B	-
41-40	Robni usmerjevalnik	1U	2	A/B	2× 250
39-38	Robno stikalo	1U	2	A/B	2× 200
37-34	Vozlišča predpomnilnika/Proxy	1U	4	A/B	4× 350
33-32	Naprava WAF/DDoS	1U	2	A/B	2× 300
31-28	Vrata za pretok	1U	4	A/B	4× 300

S-01: robni usmerjevalniki/preklopniki, predpomnilnik/proxy, WAF/DDoS, pretočni prehodi  

14 Ciljne vrednosti SLA in KPI

Domena	Ciljna vrednost	Pripomba
Razpoložljivost	≥ 99,999 %	Redundantna območja, samodejni preklop v primeru odpovedi
RPO	≤ 15 minut	Dnevniki, replikacija, posnetki
RTO	≤ 60 minut	Tekoče knjige, obnovitev kot koda
Varnost	MTTD < 5 min., MTTR < 60 min.	Odkrivanje anomalij, priročniki SOAR
Učinkovitost	Optimizacija PUE	Hlajenje s tekočino, prosto hlajenje

Razpoložljivost ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; četrtletni pregledi/revizije. Logični vpogled uporabnikov/partnerjev prek Edge (Singapur) in DCI v osrednjo strukturo (Manama) in podatkovne platforme z replikacijo v AZ Kuvajt City.    

15. časovni načrt (12-24 mesecev)

Bahrajn, Kuvajt in Singapur ponujajo strateške prednosti za podatkovno središče, območje razpoložljivosti podatkov in robno lokacijo:

• Geografska lokacija: Osrednja lokacija med Evropo, Azijo in Afriko je idealna za globalno povezljivost.
• Poslovna prijaznost: Brez davka na dobiček in 100 % tujega lastništva spodbujata naložbe.
• Regulativna podpora: TRA in Odbor za gospodarski razvoj (EDB) ponujata spodbude, kot je zlata licenca.
• Infrastruktura: Prefinjene energetske in omrežne povezave ter kvalificirana delovna sila.
• Stabilnost: Kot finančno središče (Bahrajn in Kuvajt) na Bližnjem vzhodu in v Aziji (Singapur) ti kraji zagotavljajo politično in gospodarsko varnost.

IBM z17 Lastnosti:

• Procesor Telum® II: Ponuja visoko računsko moč in pospeševanje umetne inteligence na čipu za operacije sklepanja v realnem času, npr. za analizo podatkov o bralcih.
• Spyre™ Accelerator: Poveča računalniško moč umetne inteligence za generativne modele in metode z več modeli.
• Varnost: Strojno šifriranje in kriptografski koprocesor PCIe ščitita občutljive podatke.
• Odpornost: Integrirane funkcije zagotavljajo neprekinjeno razpoložljivost.

Podatkovni pomnilnik LEGIER:

Medijska skupina LEGIER uporablja storitev gostovanja datotek, ki omogoča shranjevanje velikih količin podatkov, dostop do nje je mogoč prek protokola HTTP/HTTPS, uporablja pa koncept veder in objektov, ki so podobni imenikom in datotekam, ki so se uveljavili kot standard. LEGIER sodeluje z družbo AWS, uporablja omrežne pogone Elastic File System in arhiviranje datotek Glacier, da bi dosegel „99,999999999“ odstotno trajnost podatkov. Prednost za skupino LEGIER Media Group je uporaba sistema Elastic Block Store (EBS) in shranjevanje na ravni blokov, na katerega je mogoče priključiti instance EC2. Prednost te tehnologije je prenos velikih količin podatkov s storitvijo Snežna kepa Shranjevanje na trdem disku, na katerega je mogoče kopirati velike količine podatkov in jih poslati nazaj s paketno storitvijo, s čimer je prenos zelo velikih količin podatkov v lastne 115 dnevne časopise (članki, slike, videoposnetki, prenos v živo) veliko hitrejši in shranjen v podatkovnih zbirkah (SimpleDB ali Relational Database Service). Širjenje GPU/objektov/DCI/obrobja, širitev anycasta, utrjevanje dobavne verige (SLSA), avtomatizacija skladnosti, redne vaje odpornosti/ponovnega zagona.