docs(poc): revise dgx spark dsi prerequisites docx

This commit is contained in:
Dom
2026-06-01 11:04:16 +02:00
parent c9f848273b
commit eb2df539f1
4 changed files with 136 additions and 60 deletions

Binary file not shown.

View File

@@ -1,74 +1,96 @@
# Pré-requis DSI - intégration DGX Spark POC Léa
# Pré-requis techniques DSI - intégration DGX Spark POC agent
**Date** : 2026-06-01
**Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique.
**Projet** : POC Léa / RPA Vision V3 - apprentissage par démonstration et assistance visuelle aux postes TIM.
**Interlocuteur technique projet** : Dom Bazin.
**Projet** : RPA Vision V3 - serveur d'inférence, supervision et coordination d'agents de poste Windows.
**Interlocuteur technique projet** : Dominique Bazin.
---
## 1. Résumé
## 1. Synthèse technique
Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC Léa.
Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC.
Les postes utilisateurs restent des **PC Windows existants** sur lesquels le client Léa est installé. Ces postes communiquent avec le DGX en HTTPS sur le LAN clinique.
Les postes utilisateurs restent des **PC Windows existants**. Un agent poste Windows y est installé et communique avec le DGX en HTTPS sur le LAN clinique.
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit les APIs, le dashboard de supervision, le streaming agent et l'inférence visuelle.
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit :
- les APIs applicatives ;
- le dashboard d'administration et de supervision ;
- le service de streaming des agents ;
- l'inférence visuelle locale.
Tous les services applicatifs sont prévus en containers Docker.
---
## 2. Architecture attendue
## 2. Architecture réseau attendue
```text
Postes TIM Windows + client Léa
Postes Windows équipés d'un agent
|
| HTTPS TCP 443 - LAN clinique
v
DGX Spark on-premise
|
+-- reverse proxy HTTPS
+-- dashboard supervision
+-- API backend RPA
+-- dashboard administration / supervision
+-- API backend applicative
+-- API streaming agents
+-- inference VLM locale (Ollama), non exposée au LAN
+-- moteur d'inférence local, non exposé au LAN
```
Tous les services applicatifs DGX sont prévus en containers Docker. L'inférence IA reste locale au DGX.
Le moteur d'inférence reste accessible uniquement par les services locaux du DGX.
---
## 3. Besoins matériels et réseau local
## 3. Services hébergés
| Service | Port interne indicatif | Exposition attendue |
|---|---:|---|
| Reverse proxy HTTPS | 443 | LAN clinique |
| Dashboard administration / supervision | 5001 | Via reverse proxy HTTPS |
| Backend applicatif | 5002 | Via reverse proxy HTTPS |
| Streaming agents | 5005 | Via reverse proxy HTTPS |
| Moteur d'inférence local | 11434 | Interne DGX uniquement |
Les ports internes ne doivent pas être exposés directement au LAN. L'exposition applicative passe par le reverse proxy HTTPS.
---
## 4. Besoins matériels et réseau local
| Élément | Besoin |
|---|---|
| Emplacement | Salle technique ou zone contrôlée |
| Alimentation | Prise standard, prévoir environ 300 W en pointe |
| Réseau | Ethernet filaire, Wi-Fi désactivé en clinique |
| Réseau | Ethernet filaire |
| Wi-Fi | Désactivé en environnement clinique sauf demande DSI contraire |
| Adresse IP | 1 IP fixe ou réservation DHCP par MAC |
| Hostname souhaité | `rpa-spark-01` ou nom conforme à la convention DSI |
| DNS interne | Résolution du hostname depuis les postes TIM |
| Hostname souhaité | `rpa-spark-01` ou nom conforme à la nomenclature DSI |
| DNS interne | Résolution du hostname depuis les postes utilisateurs et postes d'administration |
| NTP | Accès à un serveur NTP clinique ou autorisé |
| VLAN | À confirmer par la DSI : VLAN postes de travail ou VLAN dédié POC |
| VLAN | À confirmer par la DSI : VLAN poste, serveur ou VLAN dédié POC |
La MAC du DGX sera communiquée lors de l'installation physique.
---
## 4. Flux entrants demandés
## 5. Flux entrants demandés
| Source | Destination | Port | Protocole | Usage |
|---|---|---:|---|---|
| Postes TIM pilotes | DGX Spark | 443 | TCP HTTPS | Client Léa, dashboard, API streaming |
| Postes admin autorisés ou VPN DSI | DGX Spark | 22 | TCP SSH | Maintenance admin, optionnel |
| Postes Windows équipés | DGX Spark | 443 | TCP HTTPS | API agent, streaming, accès applicatif |
| Postes d'administration autorisés | DGX Spark | 443 | TCP HTTPS | Accès dashboard |
| Réseau d'administration validé par la DSI | DGX Spark | 22 | TCP SSH | Administration système, optionnel |
Notes :
- aucun port entrant depuis Internet n'est demandé ;
- le port SSH peut être limité au VPN DSI ou supprimé si un autre mode d'administration est retenu ;
- les ports internes applicatifs ne sont pas exposés directement au LAN.
- l'accès SSH peut être limité au réseau d'administration DSI, à un VPN DSI, ou supprimé si une autre procédure d'administration est retenue ;
- les ports internes applicatifs restent non exposés directement.
---
## 5. Flux sortants demandés
## 6. Flux sortants demandés
Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA.
@@ -79,64 +101,68 @@ Flux sortants utiles pour installation, mises à jour, images Docker et modèles
| `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu |
| `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA |
| `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker |
| `registry.ollama.ai` | 443 | Modèles Ollama |
| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA HuggingFace |
| `registry.ollama.ai` | 443 | Modèles d'inférence |
| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA |
| `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives |
| `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python |
Ces flux peuvent être ouverts temporairement pour installation puis restreints selon la politique DSI.
Ces flux peuvent être ouverts temporairement pour l'installation puis restreints selon la politique DSI.
---
## 6. Accès administrateur distant
## 7. Accès d'administration
Option recommandée :
### 7.1 Dashboard web
| Option | Description |
| Élément | Pré-requis |
|---|---|
| OpenVPN clinique + SSH par clé | Dom accède au LAN via VPN fourni/validé par la DSI, puis SSH par clé sur le DGX. |
| URL | URL interne à définir, par exemple `https://rpa-spark-01.[domaine interne]/` |
| Port | 443 HTTPS via reverse proxy |
| Sources autorisées | Postes d'administration ou réseau d'administration validés par la DSI |
| Authentification | Authentification applicative et/ou restriction réseau, à valider avec la DSI |
| Exposition Internet | Aucune |
| Usage | Supervision, état des agents, téléchargement d'installateurs, suivi des services, configuration opérationnelle |
Options de repli si la DSI préfère :
À prévoir côté DSI :
- définir qui peut accéder au dashboard ;
- valider le nom DNS interne ;
- valider le certificat TLS interne ou le mode de certificat accepté ;
- décider si l'accès dashboard est limité à un VLAN, à des postes admin, ou à un accès distant DSI.
| Option | Description |
### 7.2 Administration système
| Élément | Pré-requis |
|---|---|
| Reverse SSH vers bastion Dom | Le DGX initie un tunnel sortant vers un bastion contrôlé par Dom. Aucun flux entrant Internet côté clinique. |
| Tailscale | Mesh VPN sortant, uniquement si validé par la DSI. |
| Protocole | SSH |
| Port | 22 TCP, si autorisé |
| Source | Réseau d'administration ou accès distant validé par la DSI |
| Authentification | Clé SSH uniquement |
| Root direct | Désactivé |
| Compte admin | Compte nominatif à définir avec la DSI |
| Journalisation | Logs SSH et sudo conservés localement |
Principes :
- pas de SSH par mot de passe ;
- pas de root direct ;
- compte admin nominatif ;
- activité admin journalisée ;
- accès supprimable en fin de POC ou sur demande DSI.
---
## 7. Sécurité et données
## 8. Sécurité et données
Principes POC :
Principes techniques :
- déploiement 100 % on-premise ;
- pas d'exposition publique Internet ;
- inférence IA locale au DGX ;
- aucun modèle IA externe appelé pour traiter les écrans utilisateurs ;
- logs et données techniques conservés localement sur le DGX ;
- chiffrement disque ou partition de données à valider avec la DSI ;
- politique de rétention à valider avec la DSI / DPO avant mise en service.
Point à arbitrer avant production POC :
- Léa apprend par démonstration, ce qui peut nécessiter de conserver localement des traces techniques de session pendant une durée limitée.
- La durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être fixés avec la DSI/DPO avant exploitation sur données réelles.
---
## 8. Périmètre pilote
| Élément | Valeur cible |
|---|---|
| Durée POC | 3 mois, ajustable |
| Utilisateurs pilotes | Jusqu'à 5 TIM |
| Postes équipés | PC Windows existants + client Léa |
| Serveur POC | 1 DGX Spark on-premise |
| Arrêt POC | Retrait possible à tout moment |
Point technique à arbitrer :
- le mode apprentissage peut produire des traces techniques locales de session pendant une durée limitée ;
- la durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être validés avant exploitation sur données réelles.
---
@@ -145,22 +171,26 @@ Point à arbitrer avant production POC :
- [ ] Confirmer le VLAN d'accueil.
- [ ] Réserver l'adresse IP ou valider l'IP statique.
- [ ] Créer l'entrée DNS interne.
- [ ] Valider le certificat TLS ou la politique de certificat interne.
- [ ] Valider les flux entrants : 443, et 22 si SSH autorisé.
- [ ] Valider les flux sortants nécessaires à l'installation.
- [ ] Choisir le mode d'accès admin distant.
- [ ] Définir les sources autorisées pour le dashboard.
- [ ] Définir le mode d'accès d'administration distant.
- [ ] Confirmer la politique antivirus / EDR applicable.
- [ ] Confirmer la politique de rétention des traces POC.
- [ ] Identifier le référent DSI et le référent TIM pour le test J+0.
- [ ] Confirmer la politique de rétention des traces techniques.
- [ ] Identifier le référent DSI pour le test de raccordement.
---
## 10. Questions ouvertes
1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ?
2. OpenVPN clinique disponible pour Dom, ou autre mode d'accès admin préféré ?
3. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
4. Rétention acceptée pour les traces d'apprentissage locales au DGX ?
5. Nom DNS interne final du DGX ?
2. Quel mode d'accès distant la DSI souhaite-t-elle utiliser pour l'administration système ?
3. Quels postes ou sous-réseaux peuvent accéder au dashboard ?
4. Quelle politique TLS interne appliquer au reverse proxy ?
5. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
6. Rétention acceptée pour les traces techniques locales au DGX ?
7. Nom DNS interne final du DGX ?
---

View File

@@ -0,0 +1,23 @@
# Codex -> Claude - INFO revision document DSI strictement technique
Claude,
Dom a relu le document DSI minimal et a demande une revision stricte:
- ne pas mentionner Lea, mais "agent";
- utiliser Dominique Bazin, pas Dom;
- ne pas citer OpenVPN, garder "VPN/acces distant valide DSI" generique;
- supprimer le perimetre fonctionnel et toute mention couverte par la convention signee;
- rester strictement technique;
- expliciter l'acces dashboard et l'administration systeme.
Document revise:
- Markdown: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
- Word: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx`
Controle Codex:
- DOCX valide;
- 13 tableaux;
- aucun "Lea/Léa", "Dom", "OpenVPN", "perimetre/périmètre", "TIM", "3 mois" dans le texte extrait;
- LibreOffice absent dans l'environnement, donc pas de rendu PDF visuel local.
Merci d'utiliser uniquement cette version revisee pour les echanges DSI.

View File

@@ -0,0 +1,23 @@
# Codex -> Qwen - INFO revision document DSI strictement technique
Qwen,
Dom a relu le document DSI minimal et a demande une revision stricte:
- ne pas mentionner Lea, mais "agent";
- utiliser Dominique Bazin, pas Dom;
- ne pas citer OpenVPN, garder "VPN/acces distant valide DSI" generique;
- supprimer le perimetre fonctionnel et toute mention couverte par la convention signee;
- rester strictement technique;
- expliciter l'acces dashboard et l'administration systeme.
Document revise:
- Markdown: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
- Word: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx`
Controle Codex:
- DOCX valide;
- 13 tableaux;
- aucun "Lea/Léa", "Dom", "OpenVPN", "perimetre/périmètre", "TIM", "3 mois" dans le texte extrait;
- LibreOffice absent dans l'environnement, donc pas de rendu PDF visuel local.
Pour tes audits POC, considere cette version comme la base DSI courte et technique.