# Tableau d'actions Dom — finalisation phase pré-clinique - `Date`: 2026-06-21 (vivant, mis à jour par Claude + Qwen au fil des validations) - `Objectif`: **à la clinique, Dom ne fait que brancher le DGX + installer Léa.** Tout le reste validé avant. --- ## A. Validé automatiquement — AUCUNE action Dom ✅ | Item | Preuve | |---|---| | 9 services RPA actifs **+ enabled** (reboot-persistant) | `systemctl is-enabled` = enabled ×9 | | Dashboard online, **24 workflows**, KB OK | `/api/system/status`, `/api/knowledge-base/stats` | | Worker apprentissage armé (idle) | `processing status: running/armed` | | VWB backend 5002 + frontend 3002 | HTTP 200 | | Agent-chat 5004 | `/api/status` OK | | Grounder vLLM | service enabled+active (8000/8001) | | VM Win11 auto-start | `win11-arm-lea` enabled + Linger=yes | | WireGuard serveur DGX | `wg-quick@wg0` enabled+active | | **SSH cert-only** (no password, CA) | prouvé depuis `.40` | | RDP VM (chaîne tunnel→guest) | prouvé depuis `.40` (LOGON nego OK) | | Firewall persistant (ports sensibles loopback) | `rpa-firewall` enabled, scan LAN | | Fleet / enrôlement | ✅ `/api/v1/agents/fleet` → **7 machines enrôlées** (corrige Qwen « 0 ») | | Grounder vLLM **Qwen3-VL-4B** | ✅ enabled+active (8000/8001) = grounder de prod (corrige Qwen « dégradé ») | | Données : FAISS 13666, anchors 468, 24 wf | ✅ (Qwen, re-vérifié) | ## B. Actions DOM — à faire (avec mon guidage) 👤 | # | Action | État | |---|---|---| | 1 | **Box** : port-forward UDP 51820 → 192.168.1.45 (Freebox) | ✅ fait — reste **activer WireGuard** sur le laptop | | 2 | **Laptop `.11`** : installer bundle SSH (cert) + `DGX-Lea.conf` + lanceur RDP | à faire | | 3 | **GO** sur les correctifs prod confirmés (tableau B′ ci-dessous) | à faire | | 4 | Valider `config.txt` Léa (`.45`+token) avant déploiement VM | à faire | | 5 | GO design **auto-réparation OVMF** | à faire | | 6 | (Jour clinique) IP statique Ethernet `.178` + exclusion DHCP `.45` labo | clinique | | 7 | (Hardening) BIOS DGX **Power-On au retour secteur** | clinique | ### B′. Correctifs prod confirmés (cross-validés) — à exécuter sous GO Dom 🔧 | Item | Détail | Owner | |---|---|---| | **RPA_SIGNING_KEY** absent `.env.local` | HMAC métadonnées FAISS (« Option A ») | Claude/Qwen + GO | | **Git DGX pas aligné** (`ec1fb81`→`cf81ce4c7`) | active auth VWB LAN ; **backup `workflows.db` AVANT reset** | Claude + GO | | **config.txt Léa non déployée** (VM) | transférer après validation `.45`+token | Qwen + GO | | **Guest SSH VM (22220)** ne répond pas | sshd guest down (forward OK) ; Léa gérable via RDP sinon | Qwen/Dom | | **workflows_count** 24/79/37 | expliqué : 24=VWB visuels, 79=catalogue agent-chat, 37=KB/FAISS → **Dom choisit la métrique produit** | clarifié | ## C. En cours de validation — Claude + Qwen (preuve + re-vérif croisée) 🔄 | Item | Owner | État | |---|---|---| | WireGuard bout-en-bout (handshake depuis l'extérieur) | Claude | bloqué sur B-1 (box) | | RDP depuis `.11` | Dom+Claude | bloqué sur B-2 | | **Chaîne d'apprentissage e2e** (capture→upload→grounding→workflow→replay) | Qwen | à prouver (worker armé, 0 session) | | **Léa enrôlement fleet** | Claude | ✅ système OK (`/api/v1/agents/fleet`, 2 machines) MAIS `last_seen` pré-panne → **relancer Léa dans la VM** pour re-check | | **Léa sur VM Win11** | Dom (RDP)+Qwen | à lancer (enrôlée, pas connectée depuis reboot) | | **Léa sur laptop `.11`** | Dom | bloqué sur B-2 (install) | | **Léa sur serveur `.40` (Linux)** | Qwen | ✅ faisable (`agent_v1` cross-platform : config Linux, window_info X11/xdotool, orchestrateur Léa-first agent-chat Linux) → à tester | | Fleet endpoint | Claude | ✅ résolu : `/api/v1/agents/fleet` (Bearer) ou proxy `/api/fleet/fleet` | | Perf : agent-chat CLIP sur CPU (pas GPU) | Claude/Qwen | à noter (vérifier si voulu) | ## D. Jour clinique — le minimum (objectif atteint si A+B+C verts) 1. **Brancher le DGX** (réseau clinique Ethernet `.178`). 2. **Installer Léa** sur les postes. → tout le reste déjà validé et figé. --- ## E. Portage clinique — bascule WiFi `.45` → Ethernet `.178` (point Dom) **Principe** : sur WireGuard, le DGX est toujours `10.10.0.1`, **indépendant du réseau physique**. `ssh dgx-vpn` + RDP (`DGX_HOST=10.10.0.1`) marchent à l'identique labo et clinique. Le changement d'IP est **invisible** pour l'accès distant. | Ce qui change à la clinique | Action | |---|---| | Routeur clinique forward **UDP 51820 → 192.168.1.178** | Dom + DSI (équivalent du forward Freebox vers `.45`) | | **Endpoint** config WireGuard = IP publique clinique | Claude régénère `DGX-Lea.conf` quand IP connue | | DGX bascule sur profil Ethernet `.178` | déjà pré-configuré (`Connexion filaire 3`) | | Host cert SSH | ✅ déjà : principals incluent `192.168.1.178` | | CA, SSH cert-only, serveur WG, forward RDP, lanceurs | ✅ config locale DGX → rejouée telle quelle | **Ne PAS toucher la carte Ethernet `.178` au labo** (consigne Dom). Au labo = WiFi only.