docs(poc): revise dgx spark dsi prerequisites docx
This commit is contained in:
BIN
docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx
Normal file
BIN
docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx
Normal file
Binary file not shown.
@@ -1,74 +1,96 @@
|
||||
# Pré-requis DSI - intégration DGX Spark POC Léa
|
||||
# Pré-requis techniques DSI - intégration DGX Spark POC agent
|
||||
|
||||
**Date** : 2026-06-01
|
||||
**Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique.
|
||||
**Projet** : POC Léa / RPA Vision V3 - apprentissage par démonstration et assistance visuelle aux postes TIM.
|
||||
**Interlocuteur technique projet** : Dom Bazin.
|
||||
**Projet** : RPA Vision V3 - serveur d'inférence, supervision et coordination d'agents de poste Windows.
|
||||
**Interlocuteur technique projet** : Dominique Bazin.
|
||||
|
||||
---
|
||||
|
||||
## 1. Résumé
|
||||
## 1. Synthèse technique
|
||||
|
||||
Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC Léa.
|
||||
Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC.
|
||||
|
||||
Les postes utilisateurs restent des **PC Windows existants** sur lesquels le client Léa est installé. Ces postes communiquent avec le DGX en HTTPS sur le LAN clinique.
|
||||
Les postes utilisateurs restent des **PC Windows existants**. Un agent poste Windows y est installé et communique avec le DGX en HTTPS sur le LAN clinique.
|
||||
|
||||
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit les APIs, le dashboard de supervision, le streaming agent et l'inférence visuelle.
|
||||
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit :
|
||||
- les APIs applicatives ;
|
||||
- le dashboard d'administration et de supervision ;
|
||||
- le service de streaming des agents ;
|
||||
- l'inférence visuelle locale.
|
||||
|
||||
Tous les services applicatifs sont prévus en containers Docker.
|
||||
|
||||
---
|
||||
|
||||
## 2. Architecture attendue
|
||||
## 2. Architecture réseau attendue
|
||||
|
||||
```text
|
||||
Postes TIM Windows + client Léa
|
||||
Postes Windows équipés d'un agent
|
||||
|
|
||||
| HTTPS TCP 443 - LAN clinique
|
||||
v
|
||||
DGX Spark on-premise
|
||||
|
|
||||
+-- reverse proxy HTTPS
|
||||
+-- dashboard supervision
|
||||
+-- API backend RPA
|
||||
+-- dashboard administration / supervision
|
||||
+-- API backend applicative
|
||||
+-- API streaming agents
|
||||
+-- inference VLM locale (Ollama), non exposée au LAN
|
||||
+-- moteur d'inférence local, non exposé au LAN
|
||||
```
|
||||
|
||||
Tous les services applicatifs DGX sont prévus en containers Docker. L'inférence IA reste locale au DGX.
|
||||
Le moteur d'inférence reste accessible uniquement par les services locaux du DGX.
|
||||
|
||||
---
|
||||
|
||||
## 3. Besoins matériels et réseau local
|
||||
## 3. Services hébergés
|
||||
|
||||
| Service | Port interne indicatif | Exposition attendue |
|
||||
|---|---:|---|
|
||||
| Reverse proxy HTTPS | 443 | LAN clinique |
|
||||
| Dashboard administration / supervision | 5001 | Via reverse proxy HTTPS |
|
||||
| Backend applicatif | 5002 | Via reverse proxy HTTPS |
|
||||
| Streaming agents | 5005 | Via reverse proxy HTTPS |
|
||||
| Moteur d'inférence local | 11434 | Interne DGX uniquement |
|
||||
|
||||
Les ports internes ne doivent pas être exposés directement au LAN. L'exposition applicative passe par le reverse proxy HTTPS.
|
||||
|
||||
---
|
||||
|
||||
## 4. Besoins matériels et réseau local
|
||||
|
||||
| Élément | Besoin |
|
||||
|---|---|
|
||||
| Emplacement | Salle technique ou zone contrôlée |
|
||||
| Alimentation | Prise standard, prévoir environ 300 W en pointe |
|
||||
| Réseau | Ethernet filaire, Wi-Fi désactivé en clinique |
|
||||
| Réseau | Ethernet filaire |
|
||||
| Wi-Fi | Désactivé en environnement clinique sauf demande DSI contraire |
|
||||
| Adresse IP | 1 IP fixe ou réservation DHCP par MAC |
|
||||
| Hostname souhaité | `rpa-spark-01` ou nom conforme à la convention DSI |
|
||||
| DNS interne | Résolution du hostname depuis les postes TIM |
|
||||
| Hostname souhaité | `rpa-spark-01` ou nom conforme à la nomenclature DSI |
|
||||
| DNS interne | Résolution du hostname depuis les postes utilisateurs et postes d'administration |
|
||||
| NTP | Accès à un serveur NTP clinique ou autorisé |
|
||||
| VLAN | À confirmer par la DSI : VLAN postes de travail ou VLAN dédié POC |
|
||||
| VLAN | À confirmer par la DSI : VLAN poste, serveur ou VLAN dédié POC |
|
||||
|
||||
La MAC du DGX sera communiquée lors de l'installation physique.
|
||||
|
||||
---
|
||||
|
||||
## 4. Flux entrants demandés
|
||||
## 5. Flux entrants demandés
|
||||
|
||||
| Source | Destination | Port | Protocole | Usage |
|
||||
|---|---|---:|---|---|
|
||||
| Postes TIM pilotes | DGX Spark | 443 | TCP HTTPS | Client Léa, dashboard, API streaming |
|
||||
| Postes admin autorisés ou VPN DSI | DGX Spark | 22 | TCP SSH | Maintenance admin, optionnel |
|
||||
| Postes Windows équipés | DGX Spark | 443 | TCP HTTPS | API agent, streaming, accès applicatif |
|
||||
| Postes d'administration autorisés | DGX Spark | 443 | TCP HTTPS | Accès dashboard |
|
||||
| Réseau d'administration validé par la DSI | DGX Spark | 22 | TCP SSH | Administration système, optionnel |
|
||||
|
||||
Notes :
|
||||
- aucun port entrant depuis Internet n'est demandé ;
|
||||
- le port SSH peut être limité au VPN DSI ou supprimé si un autre mode d'administration est retenu ;
|
||||
- les ports internes applicatifs ne sont pas exposés directement au LAN.
|
||||
- l'accès SSH peut être limité au réseau d'administration DSI, à un VPN DSI, ou supprimé si une autre procédure d'administration est retenue ;
|
||||
- les ports internes applicatifs restent non exposés directement.
|
||||
|
||||
---
|
||||
|
||||
## 5. Flux sortants demandés
|
||||
## 6. Flux sortants demandés
|
||||
|
||||
Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA.
|
||||
|
||||
@@ -79,64 +101,68 @@ Flux sortants utiles pour installation, mises à jour, images Docker et modèles
|
||||
| `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu |
|
||||
| `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA |
|
||||
| `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker |
|
||||
| `registry.ollama.ai` | 443 | Modèles Ollama |
|
||||
| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA HuggingFace |
|
||||
| `registry.ollama.ai` | 443 | Modèles d'inférence |
|
||||
| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA |
|
||||
| `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives |
|
||||
| `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python |
|
||||
|
||||
Ces flux peuvent être ouverts temporairement pour installation puis restreints selon la politique DSI.
|
||||
Ces flux peuvent être ouverts temporairement pour l'installation puis restreints selon la politique DSI.
|
||||
|
||||
---
|
||||
|
||||
## 6. Accès administrateur distant
|
||||
## 7. Accès d'administration
|
||||
|
||||
Option recommandée :
|
||||
### 7.1 Dashboard web
|
||||
|
||||
| Option | Description |
|
||||
| Élément | Pré-requis |
|
||||
|---|---|
|
||||
| OpenVPN clinique + SSH par clé | Dom accède au LAN via VPN fourni/validé par la DSI, puis SSH par clé sur le DGX. |
|
||||
| URL | URL interne à définir, par exemple `https://rpa-spark-01.[domaine interne]/` |
|
||||
| Port | 443 HTTPS via reverse proxy |
|
||||
| Sources autorisées | Postes d'administration ou réseau d'administration validés par la DSI |
|
||||
| Authentification | Authentification applicative et/ou restriction réseau, à valider avec la DSI |
|
||||
| Exposition Internet | Aucune |
|
||||
| Usage | Supervision, état des agents, téléchargement d'installateurs, suivi des services, configuration opérationnelle |
|
||||
|
||||
Options de repli si la DSI préfère :
|
||||
À prévoir côté DSI :
|
||||
- définir qui peut accéder au dashboard ;
|
||||
- valider le nom DNS interne ;
|
||||
- valider le certificat TLS interne ou le mode de certificat accepté ;
|
||||
- décider si l'accès dashboard est limité à un VLAN, à des postes admin, ou à un accès distant DSI.
|
||||
|
||||
| Option | Description |
|
||||
### 7.2 Administration système
|
||||
|
||||
| Élément | Pré-requis |
|
||||
|---|---|
|
||||
| Reverse SSH vers bastion Dom | Le DGX initie un tunnel sortant vers un bastion contrôlé par Dom. Aucun flux entrant Internet côté clinique. |
|
||||
| Tailscale | Mesh VPN sortant, uniquement si validé par la DSI. |
|
||||
| Protocole | SSH |
|
||||
| Port | 22 TCP, si autorisé |
|
||||
| Source | Réseau d'administration ou accès distant validé par la DSI |
|
||||
| Authentification | Clé SSH uniquement |
|
||||
| Root direct | Désactivé |
|
||||
| Compte admin | Compte nominatif à définir avec la DSI |
|
||||
| Journalisation | Logs SSH et sudo conservés localement |
|
||||
|
||||
Principes :
|
||||
- pas de SSH par mot de passe ;
|
||||
- pas de root direct ;
|
||||
- compte admin nominatif ;
|
||||
- activité admin journalisée ;
|
||||
- accès supprimable en fin de POC ou sur demande DSI.
|
||||
|
||||
---
|
||||
|
||||
## 7. Sécurité et données
|
||||
## 8. Sécurité et données
|
||||
|
||||
Principes POC :
|
||||
Principes techniques :
|
||||
- déploiement 100 % on-premise ;
|
||||
- pas d'exposition publique Internet ;
|
||||
- inférence IA locale au DGX ;
|
||||
- aucun modèle IA externe appelé pour traiter les écrans utilisateurs ;
|
||||
- logs et données techniques conservés localement sur le DGX ;
|
||||
- chiffrement disque ou partition de données à valider avec la DSI ;
|
||||
- politique de rétention à valider avec la DSI / DPO avant mise en service.
|
||||
|
||||
Point à arbitrer avant production POC :
|
||||
- Léa apprend par démonstration, ce qui peut nécessiter de conserver localement des traces techniques de session pendant une durée limitée.
|
||||
- La durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être fixés avec la DSI/DPO avant exploitation sur données réelles.
|
||||
|
||||
---
|
||||
|
||||
## 8. Périmètre pilote
|
||||
|
||||
| Élément | Valeur cible |
|
||||
|---|---|
|
||||
| Durée POC | 3 mois, ajustable |
|
||||
| Utilisateurs pilotes | Jusqu'à 5 TIM |
|
||||
| Postes équipés | PC Windows existants + client Léa |
|
||||
| Serveur POC | 1 DGX Spark on-premise |
|
||||
| Arrêt POC | Retrait possible à tout moment |
|
||||
Point technique à arbitrer :
|
||||
- le mode apprentissage peut produire des traces techniques locales de session pendant une durée limitée ;
|
||||
- la durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être validés avant exploitation sur données réelles.
|
||||
|
||||
---
|
||||
|
||||
@@ -145,22 +171,26 @@ Point à arbitrer avant production POC :
|
||||
- [ ] Confirmer le VLAN d'accueil.
|
||||
- [ ] Réserver l'adresse IP ou valider l'IP statique.
|
||||
- [ ] Créer l'entrée DNS interne.
|
||||
- [ ] Valider le certificat TLS ou la politique de certificat interne.
|
||||
- [ ] Valider les flux entrants : 443, et 22 si SSH autorisé.
|
||||
- [ ] Valider les flux sortants nécessaires à l'installation.
|
||||
- [ ] Choisir le mode d'accès admin distant.
|
||||
- [ ] Définir les sources autorisées pour le dashboard.
|
||||
- [ ] Définir le mode d'accès d'administration distant.
|
||||
- [ ] Confirmer la politique antivirus / EDR applicable.
|
||||
- [ ] Confirmer la politique de rétention des traces POC.
|
||||
- [ ] Identifier le référent DSI et le référent TIM pour le test J+0.
|
||||
- [ ] Confirmer la politique de rétention des traces techniques.
|
||||
- [ ] Identifier le référent DSI pour le test de raccordement.
|
||||
|
||||
---
|
||||
|
||||
## 10. Questions ouvertes
|
||||
|
||||
1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ?
|
||||
2. OpenVPN clinique disponible pour Dom, ou autre mode d'accès admin préféré ?
|
||||
3. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
|
||||
4. Rétention acceptée pour les traces d'apprentissage locales au DGX ?
|
||||
5. Nom DNS interne final du DGX ?
|
||||
2. Quel mode d'accès distant la DSI souhaite-t-elle utiliser pour l'administration système ?
|
||||
3. Quels postes ou sous-réseaux peuvent accéder au dashboard ?
|
||||
4. Quelle politique TLS interne appliquer au reverse proxy ?
|
||||
5. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
|
||||
6. Rétention acceptée pour les traces techniques locales au DGX ?
|
||||
7. Nom DNS interne final du DGX ?
|
||||
|
||||
---
|
||||
|
||||
|
||||
@@ -0,0 +1,23 @@
|
||||
# Codex -> Claude - INFO revision document DSI strictement technique
|
||||
|
||||
Claude,
|
||||
|
||||
Dom a relu le document DSI minimal et a demande une revision stricte:
|
||||
- ne pas mentionner Lea, mais "agent";
|
||||
- utiliser Dominique Bazin, pas Dom;
|
||||
- ne pas citer OpenVPN, garder "VPN/acces distant valide DSI" generique;
|
||||
- supprimer le perimetre fonctionnel et toute mention couverte par la convention signee;
|
||||
- rester strictement technique;
|
||||
- expliciter l'acces dashboard et l'administration systeme.
|
||||
|
||||
Document revise:
|
||||
- Markdown: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
|
||||
- Word: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx`
|
||||
|
||||
Controle Codex:
|
||||
- DOCX valide;
|
||||
- 13 tableaux;
|
||||
- aucun "Lea/Léa", "Dom", "OpenVPN", "perimetre/périmètre", "TIM", "3 mois" dans le texte extrait;
|
||||
- LibreOffice absent dans l'environnement, donc pas de rendu PDF visuel local.
|
||||
|
||||
Merci d'utiliser uniquement cette version revisee pour les echanges DSI.
|
||||
@@ -0,0 +1,23 @@
|
||||
# Codex -> Qwen - INFO revision document DSI strictement technique
|
||||
|
||||
Qwen,
|
||||
|
||||
Dom a relu le document DSI minimal et a demande une revision stricte:
|
||||
- ne pas mentionner Lea, mais "agent";
|
||||
- utiliser Dominique Bazin, pas Dom;
|
||||
- ne pas citer OpenVPN, garder "VPN/acces distant valide DSI" generique;
|
||||
- supprimer le perimetre fonctionnel et toute mention couverte par la convention signee;
|
||||
- rester strictement technique;
|
||||
- expliciter l'acces dashboard et l'administration systeme.
|
||||
|
||||
Document revise:
|
||||
- Markdown: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md`
|
||||
- Word: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx`
|
||||
|
||||
Controle Codex:
|
||||
- DOCX valide;
|
||||
- 13 tableaux;
|
||||
- aucun "Lea/Léa", "Dom", "OpenVPN", "perimetre/périmètre", "TIM", "3 mois" dans le texte extrait;
|
||||
- LibreOffice absent dans l'environnement, donc pas de rendu PDF visuel local.
|
||||
|
||||
Pour tes audits POC, considere cette version comme la base DSI courte et technique.
|
||||
Reference in New Issue
Block a user