diff --git a/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md b/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md new file mode 100644 index 000000000..9b2e1e6ff --- /dev/null +++ b/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md @@ -0,0 +1,170 @@ +# Pré-requis DSI - intégration DGX Spark POC Léa + +**Date** : 2026-06-01 +**Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique. +**Projet** : POC Léa / RPA Vision V3 - apprentissage par démonstration et assistance visuelle aux postes TIM. +**Interlocuteur technique projet** : Dom Bazin. + +--- + +## 1. Résumé + +Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC Léa. + +Les postes utilisateurs restent des **PC Windows existants** sur lesquels le client Léa est installé. Ces postes communiquent avec le DGX en HTTPS sur le LAN clinique. + +Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit les APIs, le dashboard de supervision, le streaming agent et l'inférence visuelle. + +--- + +## 2. Architecture attendue + +```text +Postes TIM Windows + client Léa + | + | HTTPS TCP 443 - LAN clinique + v +DGX Spark on-premise + | + +-- reverse proxy HTTPS + +-- dashboard supervision + +-- API backend RPA + +-- API streaming agents + +-- inference VLM locale (Ollama), non exposée au LAN +``` + +Tous les services applicatifs DGX sont prévus en containers Docker. L'inférence IA reste locale au DGX. + +--- + +## 3. Besoins matériels et réseau local + +| Élément | Besoin | +|---|---| +| Emplacement | Salle technique ou zone contrôlée | +| Alimentation | Prise standard, prévoir environ 300 W en pointe | +| Réseau | Ethernet filaire, Wi-Fi désactivé en clinique | +| Adresse IP | 1 IP fixe ou réservation DHCP par MAC | +| Hostname souhaité | `rpa-spark-01` ou nom conforme à la convention DSI | +| DNS interne | Résolution du hostname depuis les postes TIM | +| NTP | Accès à un serveur NTP clinique ou autorisé | +| VLAN | À confirmer par la DSI : VLAN postes de travail ou VLAN dédié POC | + +La MAC du DGX sera communiquée lors de l'installation physique. + +--- + +## 4. Flux entrants demandés + +| Source | Destination | Port | Protocole | Usage | +|---|---|---:|---|---| +| Postes TIM pilotes | DGX Spark | 443 | TCP HTTPS | Client Léa, dashboard, API streaming | +| Postes admin autorisés ou VPN DSI | DGX Spark | 22 | TCP SSH | Maintenance admin, optionnel | + +Notes : +- aucun port entrant depuis Internet n'est demandé ; +- le port SSH peut être limité au VPN DSI ou supprimé si un autre mode d'administration est retenu ; +- les ports internes applicatifs ne sont pas exposés directement au LAN. + +--- + +## 5. Flux sortants demandés + +Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA. + +| Destination | Port | Usage | +|---|---:|---| +| DNS clinique | 53 TCP/UDP | Résolution DNS | +| NTP clinique ou autorisé | 123 UDP | Synchronisation horaire | +| `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu | +| `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA | +| `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker | +| `registry.ollama.ai` | 443 | Modèles Ollama | +| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA HuggingFace | +| `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives | +| `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python | + +Ces flux peuvent être ouverts temporairement pour installation puis restreints selon la politique DSI. + +--- + +## 6. Accès administrateur distant + +Option recommandée : + +| Option | Description | +|---|---| +| OpenVPN clinique + SSH par clé | Dom accède au LAN via VPN fourni/validé par la DSI, puis SSH par clé sur le DGX. | + +Options de repli si la DSI préfère : + +| Option | Description | +|---|---| +| Reverse SSH vers bastion Dom | Le DGX initie un tunnel sortant vers un bastion contrôlé par Dom. Aucun flux entrant Internet côté clinique. | +| Tailscale | Mesh VPN sortant, uniquement si validé par la DSI. | + +Principes : +- pas de SSH par mot de passe ; +- pas de root direct ; +- compte admin nominatif ; +- activité admin journalisée ; +- accès supprimable en fin de POC ou sur demande DSI. + +--- + +## 7. Sécurité et données + +Principes POC : +- déploiement 100 % on-premise ; +- pas d'exposition publique Internet ; +- inférence IA locale au DGX ; +- aucun modèle IA externe appelé pour traiter les écrans utilisateurs ; +- logs et données techniques conservés localement sur le DGX ; +- politique de rétention à valider avec la DSI / DPO avant mise en service. + +Point à arbitrer avant production POC : +- Léa apprend par démonstration, ce qui peut nécessiter de conserver localement des traces techniques de session pendant une durée limitée. +- La durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être fixés avec la DSI/DPO avant exploitation sur données réelles. + +--- + +## 8. Périmètre pilote + +| Élément | Valeur cible | +|---|---| +| Durée POC | 3 mois, ajustable | +| Utilisateurs pilotes | Jusqu'à 5 TIM | +| Postes équipés | PC Windows existants + client Léa | +| Serveur POC | 1 DGX Spark on-premise | +| Arrêt POC | Retrait possible à tout moment | + +--- + +## 9. Checklist DSI avant installation + +- [ ] Confirmer le VLAN d'accueil. +- [ ] Réserver l'adresse IP ou valider l'IP statique. +- [ ] Créer l'entrée DNS interne. +- [ ] Valider les flux entrants : 443, et 22 si SSH autorisé. +- [ ] Valider les flux sortants nécessaires à l'installation. +- [ ] Choisir le mode d'accès admin distant. +- [ ] Confirmer la politique antivirus / EDR applicable. +- [ ] Confirmer la politique de rétention des traces POC. +- [ ] Identifier le référent DSI et le référent TIM pour le test J+0. + +--- + +## 10. Questions ouvertes + +1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ? +2. OpenVPN clinique disponible pour Dom, ou autre mode d'accès admin préféré ? +3. Politique EDR/antivirus imposée sur Ubuntu/DGX ? +4. Rétention acceptée pour les traces d'apprentissage locales au DGX ? +5. Nom DNS interne final du DGX ? + +--- + +## 11. Références internes + +- Document complet : `docs/POC/RESEAU_CLINIQUE_2026-05-28.md` +- Portage technique DGX : `docs/POC/PORTAGE_DGX_SPARK_2026-05-28.md` diff --git a/docs/POC/README.md b/docs/POC/README.md index 852fb28a5..019024d06 100644 --- a/docs/POC/README.md +++ b/docs/POC/README.md @@ -15,6 +15,7 @@ Dossier de consignation des décisions, arbitrages et notes liés au passage **d |-------|-----|--------| | Portage stack Ubuntu x86 → DGX Spark ARM aarch64 | [PORTAGE_DGX_SPARK_2026-05-28.md](PORTAGE_DGX_SPARK_2026-05-28.md) | Synthèse initiale validée | | Préparation réseau clinique (doc DSI) | [RESEAU_CLINIQUE_2026-05-28.md](RESEAU_CLINIQUE_2026-05-28.md) | V1, en attente arbitrages Dom + retour DSI | +| Pré-requis DSI minimal DGX Spark | [PREREQUIS_DSI_DGX_SPARK_2026-06-01.md](PREREQUIS_DSI_DGX_SPARK_2026-06-01.md) | Version courte prête à relire | | Ménage pré-POC (tri code/tests/docs avant transfert DGX) | [MENAGE_PRE_POC_2026-05-29.md](MENAGE_PRE_POC_2026-05-29.md) | Plan validé scénario médian ~9-10 j-h, à exécuter | ## Calendrier indicatif diff --git a/docs/coordination/inbox_claude/2026-06-01_1043_codex-to-claude_INFO-doc-DSI-minimal-DGX-Spark.md b/docs/coordination/inbox_claude/2026-06-01_1043_codex-to-claude_INFO-doc-DSI-minimal-DGX-Spark.md new file mode 100644 index 000000000..a51a3e5d5 --- /dev/null +++ b/docs/coordination/inbox_claude/2026-06-01_1043_codex-to-claude_INFO-doc-DSI-minimal-DGX-Spark.md @@ -0,0 +1,29 @@ +# Codex -> Claude - INFO document DSI minimal DGX Spark + +Claude, + +Dom a demande une version courte et propre pour la DSI afin d'integrer le DGX Spark dans l'environnement clinique. + +Document cree: +- `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md` + +Role du document: +- version courte a transmettre/revoir avec la DSI; +- complete le document long `docs/POC/RESEAU_CLINIQUE_2026-05-28.md`; +- ne remplace pas les arbitrages RGPD/DPO. + +Points inclus: +- architecture LAN: postes TIM Windows + client Lea -> HTTPS 443 -> DGX Spark; +- DGX headless, containers Docker, inference locale non exposee; +- besoins IP/DNS/NTP/VLAN; +- flux entrants/sortants; +- options d'acces admin distant; +- checklist DSI; +- questions ouvertes. + +Point volontairement prudent: +- le document ne promet pas "captures jamais persistées"; +- il indique que l'apprentissage peut necessiter des traces techniques locales a retention limitee; +- retention, anonymisation et effacement doivent etre valides avec DSI/DPO avant exploitation sur donnees reelles. + +Merci d'utiliser ce document comme base courte DSI dans tes prochains plans POC. diff --git a/docs/coordination/inbox_qwen/2026-06-01_1043_codex-to-qwen_INFO-doc-DSI-minimal-DGX-Spark.md b/docs/coordination/inbox_qwen/2026-06-01_1043_codex-to-qwen_INFO-doc-DSI-minimal-DGX-Spark.md new file mode 100644 index 000000000..0bcacde93 --- /dev/null +++ b/docs/coordination/inbox_qwen/2026-06-01_1043_codex-to-qwen_INFO-doc-DSI-minimal-DGX-Spark.md @@ -0,0 +1,28 @@ +# Codex -> Qwen - INFO document DSI minimal DGX Spark + +Qwen, + +Dom a demande une version courte et propre pour la DSI afin d'integrer le DGX Spark dans l'environnement clinique. + +Document cree: +- `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md` + +Ce document doit etre pris en compte dans ton audit POC/DGX: +- architecture LAN: postes TIM Windows + client Lea -> HTTPS 443 -> DGX Spark; +- DGX headless, containers Docker, inference locale non exposee; +- besoins IP/DNS/NTP/VLAN; +- flux entrants/sortants; +- options acces admin distant; +- checklist DSI; +- questions ouvertes. + +Decision de redaction importante: +- pas de promesse "RAM only / jamais persiste" dans cette version courte; +- formulation prudente: l'apprentissage peut necessiter des traces techniques locales a retention limitee; +- retention, anonymisation et effacement a valider DSI/DPO avant donnees reelles. + +Merci de continuer a auditer: +- token global vs token poste; +- revocation agent effective; +- stockage traces apprentissage; +- requirements/containers Spark.