docs(poc): add minimal dgx spark dsi prerequisites

This commit is contained in:
Dom
2026-06-01 10:45:46 +02:00
parent 45ec5fe969
commit c9f848273b
4 changed files with 228 additions and 0 deletions

View File

@@ -0,0 +1,170 @@
# Pré-requis DSI - intégration DGX Spark POC Léa
**Date** : 2026-06-01
**Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique.
**Projet** : POC Léa / RPA Vision V3 - apprentissage par démonstration et assistance visuelle aux postes TIM.
**Interlocuteur technique projet** : Dom Bazin.
---
## 1. Résumé
Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC Léa.
Les postes utilisateurs restent des **PC Windows existants** sur lesquels le client Léa est installé. Ces postes communiquent avec le DGX en HTTPS sur le LAN clinique.
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit les APIs, le dashboard de supervision, le streaming agent et l'inférence visuelle.
---
## 2. Architecture attendue
```text
Postes TIM Windows + client Léa
|
| HTTPS TCP 443 - LAN clinique
v
DGX Spark on-premise
|
+-- reverse proxy HTTPS
+-- dashboard supervision
+-- API backend RPA
+-- API streaming agents
+-- inference VLM locale (Ollama), non exposée au LAN
```
Tous les services applicatifs DGX sont prévus en containers Docker. L'inférence IA reste locale au DGX.
---
## 3. Besoins matériels et réseau local
| Élément | Besoin |
|---|---|
| Emplacement | Salle technique ou zone contrôlée |
| Alimentation | Prise standard, prévoir environ 300 W en pointe |
| Réseau | Ethernet filaire, Wi-Fi désactivé en clinique |
| Adresse IP | 1 IP fixe ou réservation DHCP par MAC |
| Hostname souhaité | `rpa-spark-01` ou nom conforme à la convention DSI |
| DNS interne | Résolution du hostname depuis les postes TIM |
| NTP | Accès à un serveur NTP clinique ou autorisé |
| VLAN | À confirmer par la DSI : VLAN postes de travail ou VLAN dédié POC |
La MAC du DGX sera communiquée lors de l'installation physique.
---
## 4. Flux entrants demandés
| Source | Destination | Port | Protocole | Usage |
|---|---|---:|---|---|
| Postes TIM pilotes | DGX Spark | 443 | TCP HTTPS | Client Léa, dashboard, API streaming |
| Postes admin autorisés ou VPN DSI | DGX Spark | 22 | TCP SSH | Maintenance admin, optionnel |
Notes :
- aucun port entrant depuis Internet n'est demandé ;
- le port SSH peut être limité au VPN DSI ou supprimé si un autre mode d'administration est retenu ;
- les ports internes applicatifs ne sont pas exposés directement au LAN.
---
## 5. Flux sortants demandés
Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA.
| Destination | Port | Usage |
|---|---:|---|
| DNS clinique | 53 TCP/UDP | Résolution DNS |
| NTP clinique ou autorisé | 123 UDP | Synchronisation horaire |
| `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu |
| `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA |
| `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker |
| `registry.ollama.ai` | 443 | Modèles Ollama |
| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA HuggingFace |
| `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives |
| `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python |
Ces flux peuvent être ouverts temporairement pour installation puis restreints selon la politique DSI.
---
## 6. Accès administrateur distant
Option recommandée :
| Option | Description |
|---|---|
| OpenVPN clinique + SSH par clé | Dom accède au LAN via VPN fourni/validé par la DSI, puis SSH par clé sur le DGX. |
Options de repli si la DSI préfère :
| Option | Description |
|---|---|
| Reverse SSH vers bastion Dom | Le DGX initie un tunnel sortant vers un bastion contrôlé par Dom. Aucun flux entrant Internet côté clinique. |
| Tailscale | Mesh VPN sortant, uniquement si validé par la DSI. |
Principes :
- pas de SSH par mot de passe ;
- pas de root direct ;
- compte admin nominatif ;
- activité admin journalisée ;
- accès supprimable en fin de POC ou sur demande DSI.
---
## 7. Sécurité et données
Principes POC :
- déploiement 100 % on-premise ;
- pas d'exposition publique Internet ;
- inférence IA locale au DGX ;
- aucun modèle IA externe appelé pour traiter les écrans utilisateurs ;
- logs et données techniques conservés localement sur le DGX ;
- politique de rétention à valider avec la DSI / DPO avant mise en service.
Point à arbitrer avant production POC :
- Léa apprend par démonstration, ce qui peut nécessiter de conserver localement des traces techniques de session pendant une durée limitée.
- La durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être fixés avec la DSI/DPO avant exploitation sur données réelles.
---
## 8. Périmètre pilote
| Élément | Valeur cible |
|---|---|
| Durée POC | 3 mois, ajustable |
| Utilisateurs pilotes | Jusqu'à 5 TIM |
| Postes équipés | PC Windows existants + client Léa |
| Serveur POC | 1 DGX Spark on-premise |
| Arrêt POC | Retrait possible à tout moment |
---
## 9. Checklist DSI avant installation
- [ ] Confirmer le VLAN d'accueil.
- [ ] Réserver l'adresse IP ou valider l'IP statique.
- [ ] Créer l'entrée DNS interne.
- [ ] Valider les flux entrants : 443, et 22 si SSH autorisé.
- [ ] Valider les flux sortants nécessaires à l'installation.
- [ ] Choisir le mode d'accès admin distant.
- [ ] Confirmer la politique antivirus / EDR applicable.
- [ ] Confirmer la politique de rétention des traces POC.
- [ ] Identifier le référent DSI et le référent TIM pour le test J+0.
---
## 10. Questions ouvertes
1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ?
2. OpenVPN clinique disponible pour Dom, ou autre mode d'accès admin préféré ?
3. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
4. Rétention acceptée pour les traces d'apprentissage locales au DGX ?
5. Nom DNS interne final du DGX ?
---
## 11. Références internes
- Document complet : `docs/POC/RESEAU_CLINIQUE_2026-05-28.md`
- Portage technique DGX : `docs/POC/PORTAGE_DGX_SPARK_2026-05-28.md`

View File

@@ -15,6 +15,7 @@ Dossier de consignation des décisions, arbitrages et notes liés au passage **d
|-------|-----|--------|
| Portage stack Ubuntu x86 → DGX Spark ARM aarch64 | [PORTAGE_DGX_SPARK_2026-05-28.md](PORTAGE_DGX_SPARK_2026-05-28.md) | Synthèse initiale validée |
| Préparation réseau clinique (doc DSI) | [RESEAU_CLINIQUE_2026-05-28.md](RESEAU_CLINIQUE_2026-05-28.md) | V1, en attente arbitrages Dom + retour DSI |
| Pré-requis DSI minimal DGX Spark | [PREREQUIS_DSI_DGX_SPARK_2026-06-01.md](PREREQUIS_DSI_DGX_SPARK_2026-06-01.md) | Version courte prête à relire |
| Ménage pré-POC (tri code/tests/docs avant transfert DGX) | [MENAGE_PRE_POC_2026-05-29.md](MENAGE_PRE_POC_2026-05-29.md) | Plan validé scénario médian ~9-10 j-h, à exécuter |
## Calendrier indicatif

View File

@@ -0,0 +1,29 @@
# Codex -> Claude - INFO document DSI minimal DGX Spark
Claude,
Dom a demande une version courte et propre pour la DSI afin d'integrer le DGX Spark dans l'environnement clinique.
Document cree:
- `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
Role du document:
- version courte a transmettre/revoir avec la DSI;
- complete le document long `docs/POC/RESEAU_CLINIQUE_2026-05-28.md`;
- ne remplace pas les arbitrages RGPD/DPO.
Points inclus:
- architecture LAN: postes TIM Windows + client Lea -> HTTPS 443 -> DGX Spark;
- DGX headless, containers Docker, inference locale non exposee;
- besoins IP/DNS/NTP/VLAN;
- flux entrants/sortants;
- options d'acces admin distant;
- checklist DSI;
- questions ouvertes.
Point volontairement prudent:
- le document ne promet pas "captures jamais persistées";
- il indique que l'apprentissage peut necessiter des traces techniques locales a retention limitee;
- retention, anonymisation et effacement doivent etre valides avec DSI/DPO avant exploitation sur donnees reelles.
Merci d'utiliser ce document comme base courte DSI dans tes prochains plans POC.

View File

@@ -0,0 +1,28 @@
# Codex -> Qwen - INFO document DSI minimal DGX Spark
Qwen,
Dom a demande une version courte et propre pour la DSI afin d'integrer le DGX Spark dans l'environnement clinique.
Document cree:
- `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
Ce document doit etre pris en compte dans ton audit POC/DGX:
- architecture LAN: postes TIM Windows + client Lea -> HTTPS 443 -> DGX Spark;
- DGX headless, containers Docker, inference locale non exposee;
- besoins IP/DNS/NTP/VLAN;
- flux entrants/sortants;
- options acces admin distant;
- checklist DSI;
- questions ouvertes.
Decision de redaction importante:
- pas de promesse "RAM only / jamais persiste" dans cette version courte;
- formulation prudente: l'apprentissage peut necessiter des traces techniques locales a retention limitee;
- retention, anonymisation et effacement a valider DSI/DPO avant donnees reelles.
Merci de continuer a auditer:
- token global vs token poste;
- revocation agent effective;
- stockage traces apprentissage;
- requirements/containers Spark.