docs(poc): add minimal dgx spark dsi prerequisites
This commit is contained in:
170
docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md
Normal file
170
docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md
Normal file
@@ -0,0 +1,170 @@
|
||||
# Pré-requis DSI - intégration DGX Spark POC Léa
|
||||
|
||||
**Date** : 2026-06-01
|
||||
**Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique.
|
||||
**Projet** : POC Léa / RPA Vision V3 - apprentissage par démonstration et assistance visuelle aux postes TIM.
|
||||
**Interlocuteur technique projet** : Dom Bazin.
|
||||
|
||||
---
|
||||
|
||||
## 1. Résumé
|
||||
|
||||
Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC Léa.
|
||||
|
||||
Les postes utilisateurs restent des **PC Windows existants** sur lesquels le client Léa est installé. Ces postes communiquent avec le DGX en HTTPS sur le LAN clinique.
|
||||
|
||||
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit les APIs, le dashboard de supervision, le streaming agent et l'inférence visuelle.
|
||||
|
||||
---
|
||||
|
||||
## 2. Architecture attendue
|
||||
|
||||
```text
|
||||
Postes TIM Windows + client Léa
|
||||
|
|
||||
| HTTPS TCP 443 - LAN clinique
|
||||
v
|
||||
DGX Spark on-premise
|
||||
|
|
||||
+-- reverse proxy HTTPS
|
||||
+-- dashboard supervision
|
||||
+-- API backend RPA
|
||||
+-- API streaming agents
|
||||
+-- inference VLM locale (Ollama), non exposée au LAN
|
||||
```
|
||||
|
||||
Tous les services applicatifs DGX sont prévus en containers Docker. L'inférence IA reste locale au DGX.
|
||||
|
||||
---
|
||||
|
||||
## 3. Besoins matériels et réseau local
|
||||
|
||||
| Élément | Besoin |
|
||||
|---|---|
|
||||
| Emplacement | Salle technique ou zone contrôlée |
|
||||
| Alimentation | Prise standard, prévoir environ 300 W en pointe |
|
||||
| Réseau | Ethernet filaire, Wi-Fi désactivé en clinique |
|
||||
| Adresse IP | 1 IP fixe ou réservation DHCP par MAC |
|
||||
| Hostname souhaité | `rpa-spark-01` ou nom conforme à la convention DSI |
|
||||
| DNS interne | Résolution du hostname depuis les postes TIM |
|
||||
| NTP | Accès à un serveur NTP clinique ou autorisé |
|
||||
| VLAN | À confirmer par la DSI : VLAN postes de travail ou VLAN dédié POC |
|
||||
|
||||
La MAC du DGX sera communiquée lors de l'installation physique.
|
||||
|
||||
---
|
||||
|
||||
## 4. Flux entrants demandés
|
||||
|
||||
| Source | Destination | Port | Protocole | Usage |
|
||||
|---|---|---:|---|---|
|
||||
| Postes TIM pilotes | DGX Spark | 443 | TCP HTTPS | Client Léa, dashboard, API streaming |
|
||||
| Postes admin autorisés ou VPN DSI | DGX Spark | 22 | TCP SSH | Maintenance admin, optionnel |
|
||||
|
||||
Notes :
|
||||
- aucun port entrant depuis Internet n'est demandé ;
|
||||
- le port SSH peut être limité au VPN DSI ou supprimé si un autre mode d'administration est retenu ;
|
||||
- les ports internes applicatifs ne sont pas exposés directement au LAN.
|
||||
|
||||
---
|
||||
|
||||
## 5. Flux sortants demandés
|
||||
|
||||
Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA.
|
||||
|
||||
| Destination | Port | Usage |
|
||||
|---|---:|---|
|
||||
| DNS clinique | 53 TCP/UDP | Résolution DNS |
|
||||
| NTP clinique ou autorisé | 123 UDP | Synchronisation horaire |
|
||||
| `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu |
|
||||
| `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA |
|
||||
| `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker |
|
||||
| `registry.ollama.ai` | 443 | Modèles Ollama |
|
||||
| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA HuggingFace |
|
||||
| `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives |
|
||||
| `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python |
|
||||
|
||||
Ces flux peuvent être ouverts temporairement pour installation puis restreints selon la politique DSI.
|
||||
|
||||
---
|
||||
|
||||
## 6. Accès administrateur distant
|
||||
|
||||
Option recommandée :
|
||||
|
||||
| Option | Description |
|
||||
|---|---|
|
||||
| OpenVPN clinique + SSH par clé | Dom accède au LAN via VPN fourni/validé par la DSI, puis SSH par clé sur le DGX. |
|
||||
|
||||
Options de repli si la DSI préfère :
|
||||
|
||||
| Option | Description |
|
||||
|---|---|
|
||||
| Reverse SSH vers bastion Dom | Le DGX initie un tunnel sortant vers un bastion contrôlé par Dom. Aucun flux entrant Internet côté clinique. |
|
||||
| Tailscale | Mesh VPN sortant, uniquement si validé par la DSI. |
|
||||
|
||||
Principes :
|
||||
- pas de SSH par mot de passe ;
|
||||
- pas de root direct ;
|
||||
- compte admin nominatif ;
|
||||
- activité admin journalisée ;
|
||||
- accès supprimable en fin de POC ou sur demande DSI.
|
||||
|
||||
---
|
||||
|
||||
## 7. Sécurité et données
|
||||
|
||||
Principes POC :
|
||||
- déploiement 100 % on-premise ;
|
||||
- pas d'exposition publique Internet ;
|
||||
- inférence IA locale au DGX ;
|
||||
- aucun modèle IA externe appelé pour traiter les écrans utilisateurs ;
|
||||
- logs et données techniques conservés localement sur le DGX ;
|
||||
- politique de rétention à valider avec la DSI / DPO avant mise en service.
|
||||
|
||||
Point à arbitrer avant production POC :
|
||||
- Léa apprend par démonstration, ce qui peut nécessiter de conserver localement des traces techniques de session pendant une durée limitée.
|
||||
- La durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être fixés avec la DSI/DPO avant exploitation sur données réelles.
|
||||
|
||||
---
|
||||
|
||||
## 8. Périmètre pilote
|
||||
|
||||
| Élément | Valeur cible |
|
||||
|---|---|
|
||||
| Durée POC | 3 mois, ajustable |
|
||||
| Utilisateurs pilotes | Jusqu'à 5 TIM |
|
||||
| Postes équipés | PC Windows existants + client Léa |
|
||||
| Serveur POC | 1 DGX Spark on-premise |
|
||||
| Arrêt POC | Retrait possible à tout moment |
|
||||
|
||||
---
|
||||
|
||||
## 9. Checklist DSI avant installation
|
||||
|
||||
- [ ] Confirmer le VLAN d'accueil.
|
||||
- [ ] Réserver l'adresse IP ou valider l'IP statique.
|
||||
- [ ] Créer l'entrée DNS interne.
|
||||
- [ ] Valider les flux entrants : 443, et 22 si SSH autorisé.
|
||||
- [ ] Valider les flux sortants nécessaires à l'installation.
|
||||
- [ ] Choisir le mode d'accès admin distant.
|
||||
- [ ] Confirmer la politique antivirus / EDR applicable.
|
||||
- [ ] Confirmer la politique de rétention des traces POC.
|
||||
- [ ] Identifier le référent DSI et le référent TIM pour le test J+0.
|
||||
|
||||
---
|
||||
|
||||
## 10. Questions ouvertes
|
||||
|
||||
1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ?
|
||||
2. OpenVPN clinique disponible pour Dom, ou autre mode d'accès admin préféré ?
|
||||
3. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
|
||||
4. Rétention acceptée pour les traces d'apprentissage locales au DGX ?
|
||||
5. Nom DNS interne final du DGX ?
|
||||
|
||||
---
|
||||
|
||||
## 11. Références internes
|
||||
|
||||
- Document complet : `docs/POC/RESEAU_CLINIQUE_2026-05-28.md`
|
||||
- Portage technique DGX : `docs/POC/PORTAGE_DGX_SPARK_2026-05-28.md`
|
||||
@@ -15,6 +15,7 @@ Dossier de consignation des décisions, arbitrages et notes liés au passage **d
|
||||
|-------|-----|--------|
|
||||
| Portage stack Ubuntu x86 → DGX Spark ARM aarch64 | [PORTAGE_DGX_SPARK_2026-05-28.md](PORTAGE_DGX_SPARK_2026-05-28.md) | Synthèse initiale validée |
|
||||
| Préparation réseau clinique (doc DSI) | [RESEAU_CLINIQUE_2026-05-28.md](RESEAU_CLINIQUE_2026-05-28.md) | V1, en attente arbitrages Dom + retour DSI |
|
||||
| Pré-requis DSI minimal DGX Spark | [PREREQUIS_DSI_DGX_SPARK_2026-06-01.md](PREREQUIS_DSI_DGX_SPARK_2026-06-01.md) | Version courte prête à relire |
|
||||
| Ménage pré-POC (tri code/tests/docs avant transfert DGX) | [MENAGE_PRE_POC_2026-05-29.md](MENAGE_PRE_POC_2026-05-29.md) | Plan validé scénario médian ~9-10 j-h, à exécuter |
|
||||
|
||||
## Calendrier indicatif
|
||||
|
||||
@@ -0,0 +1,29 @@
|
||||
# Codex -> Claude - INFO document DSI minimal DGX Spark
|
||||
|
||||
Claude,
|
||||
|
||||
Dom a demande une version courte et propre pour la DSI afin d'integrer le DGX Spark dans l'environnement clinique.
|
||||
|
||||
Document cree:
|
||||
- `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
|
||||
|
||||
Role du document:
|
||||
- version courte a transmettre/revoir avec la DSI;
|
||||
- complete le document long `docs/POC/RESEAU_CLINIQUE_2026-05-28.md`;
|
||||
- ne remplace pas les arbitrages RGPD/DPO.
|
||||
|
||||
Points inclus:
|
||||
- architecture LAN: postes TIM Windows + client Lea -> HTTPS 443 -> DGX Spark;
|
||||
- DGX headless, containers Docker, inference locale non exposee;
|
||||
- besoins IP/DNS/NTP/VLAN;
|
||||
- flux entrants/sortants;
|
||||
- options d'acces admin distant;
|
||||
- checklist DSI;
|
||||
- questions ouvertes.
|
||||
|
||||
Point volontairement prudent:
|
||||
- le document ne promet pas "captures jamais persistées";
|
||||
- il indique que l'apprentissage peut necessiter des traces techniques locales a retention limitee;
|
||||
- retention, anonymisation et effacement doivent etre valides avec DSI/DPO avant exploitation sur donnees reelles.
|
||||
|
||||
Merci d'utiliser ce document comme base courte DSI dans tes prochains plans POC.
|
||||
@@ -0,0 +1,28 @@
|
||||
# Codex -> Qwen - INFO document DSI minimal DGX Spark
|
||||
|
||||
Qwen,
|
||||
|
||||
Dom a demande une version courte et propre pour la DSI afin d'integrer le DGX Spark dans l'environnement clinique.
|
||||
|
||||
Document cree:
|
||||
- `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
|
||||
|
||||
Ce document doit etre pris en compte dans ton audit POC/DGX:
|
||||
- architecture LAN: postes TIM Windows + client Lea -> HTTPS 443 -> DGX Spark;
|
||||
- DGX headless, containers Docker, inference locale non exposee;
|
||||
- besoins IP/DNS/NTP/VLAN;
|
||||
- flux entrants/sortants;
|
||||
- options acces admin distant;
|
||||
- checklist DSI;
|
||||
- questions ouvertes.
|
||||
|
||||
Decision de redaction importante:
|
||||
- pas de promesse "RAM only / jamais persiste" dans cette version courte;
|
||||
- formulation prudente: l'apprentissage peut necessiter des traces techniques locales a retention limitee;
|
||||
- retention, anonymisation et effacement a valider DSI/DPO avant donnees reelles.
|
||||
|
||||
Merci de continuer a auditer:
|
||||
- token global vs token poste;
|
||||
- revocation agent effective;
|
||||
- stockage traces apprentissage;
|
||||
- requirements/containers Spark.
|
||||
Reference in New Issue
Block a user