# Pré-requis techniques DSI - intégration DGX Spark POC agent **Date** : 2026-06-01 **Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique. **Projet** : RPA Vision V3 - serveur d'inférence, supervision et coordination d'agents de poste Windows. **Interlocuteur technique projet** : Dominique Bazin. --- ## 1. Synthèse technique Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC. Les postes utilisateurs restent des **PC Windows existants**. Un agent poste Windows y est installé et communique avec le DGX en HTTPS sur le LAN clinique. Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit : - les APIs applicatives ; - le dashboard d'administration et de supervision ; - le service de streaming des agents ; - l'inférence visuelle locale. Tous les services applicatifs sont prévus en containers Docker. --- ## 2. Architecture réseau attendue ```text Postes Windows équipés d'un agent | | HTTPS TCP 443 - LAN clinique v DGX Spark on-premise | +-- reverse proxy HTTPS +-- dashboard administration / supervision +-- API backend applicative +-- API streaming agents +-- moteur d'inférence local, non exposé au LAN ``` Le moteur d'inférence reste accessible uniquement par les services locaux du DGX. --- ## 3. Services hébergés | Service | Port interne indicatif | Exposition attendue | |---|---:|---| | Reverse proxy HTTPS | 443 | LAN clinique | | Dashboard administration / supervision | 5001 | Via reverse proxy HTTPS | | Backend applicatif | 5002 | Via reverse proxy HTTPS | | Streaming agents | 5005 | Via reverse proxy HTTPS | | Moteur d'inférence local | 11434 | Interne DGX uniquement | Les ports internes ne doivent pas être exposés directement au LAN. L'exposition applicative passe par le reverse proxy HTTPS. --- ## 4. Besoins matériels et réseau local | Élément | Besoin | |---|---| | Emplacement | Salle technique ou zone contrôlée | | Alimentation | Prise standard, prévoir environ 300 W en pointe | | Réseau | Ethernet filaire | | Wi-Fi | Désactivé en environnement clinique sauf demande DSI contraire | | Adresse IP | 1 IP fixe ou réservation DHCP par MAC | | Hostname souhaité | `rpa-spark-01` ou nom conforme à la nomenclature DSI | | DNS interne | Résolution du hostname depuis les postes utilisateurs et postes d'administration | | NTP | Accès à un serveur NTP clinique ou autorisé | | VLAN | À confirmer par la DSI : VLAN poste, serveur ou VLAN dédié POC | La MAC du DGX sera communiquée lors de l'installation physique. --- ## 5. Flux entrants demandés | Source | Destination | Port | Protocole | Usage | |---|---|---:|---|---| | Postes Windows équipés | DGX Spark | 443 | TCP HTTPS | API agent, streaming, accès applicatif | | Postes d'administration autorisés | DGX Spark | 443 | TCP HTTPS | Accès dashboard | | Réseau d'administration validé par la DSI | DGX Spark | 22 | TCP SSH | Administration système, optionnel | Notes : - aucun port entrant depuis Internet n'est demandé ; - l'accès SSH peut être limité au réseau d'administration DSI, à un VPN DSI, ou supprimé si une autre procédure d'administration est retenue ; - les ports internes applicatifs restent non exposés directement. --- ## 6. Flux sortants demandés Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA. | Destination | Port | Usage | |---|---:|---| | DNS clinique | 53 TCP/UDP | Résolution DNS | | NTP clinique ou autorisé | 123 UDP | Synchronisation horaire | | `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu | | `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA | | `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker | | `registry.ollama.ai` | 443 | Modèles d'inférence | | `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA | | `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives | | `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python | Ces flux peuvent être ouverts temporairement pour l'installation puis restreints selon la politique DSI. --- ## 7. Accès d'administration ### 7.1 Dashboard web | Élément | Pré-requis | |---|---| | URL | URL interne à définir, par exemple `https://rpa-spark-01.[domaine interne]/` | | Port | 443 HTTPS via reverse proxy | | Sources autorisées | Postes d'administration ou réseau d'administration validés par la DSI | | Authentification | Authentification applicative et/ou restriction réseau, à valider avec la DSI | | Exposition Internet | Aucune | | Usage | Supervision, état des agents, téléchargement d'installateurs, suivi des services, configuration opérationnelle | À prévoir côté DSI : - définir qui peut accéder au dashboard ; - valider le nom DNS interne ; - valider le certificat TLS interne ou le mode de certificat accepté ; - décider si l'accès dashboard est limité à un VLAN, à des postes admin, ou à un accès distant DSI. ### 7.2 Administration système | Élément | Pré-requis | |---|---| | Protocole | SSH | | Port | 22 TCP, si autorisé | | Source | Réseau d'administration ou accès distant validé par la DSI | | Authentification | Clé SSH uniquement | | Root direct | Désactivé | | Compte admin | Compte nominatif à définir avec la DSI | | Journalisation | Logs SSH et sudo conservés localement | Principes : - pas de SSH par mot de passe ; - pas de root direct ; - activité admin journalisée ; - accès supprimable en fin de POC ou sur demande DSI. --- ## 8. Sécurité et données Principes techniques : - déploiement 100 % on-premise ; - pas d'exposition publique Internet ; - inférence IA locale au DGX ; - aucun modèle IA externe appelé pour traiter les écrans utilisateurs ; - logs et données techniques conservés localement sur le DGX ; - chiffrement disque ou partition de données à valider avec la DSI ; - politique de rétention à valider avec la DSI / DPO avant mise en service. Point technique à arbitrer : - le mode apprentissage peut produire des traces techniques locales de session pendant une durée limitée ; - la durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être validés avant exploitation sur données réelles. --- ## 9. Checklist DSI avant installation - [ ] Confirmer le VLAN d'accueil. - [ ] Réserver l'adresse IP ou valider l'IP statique. - [ ] Créer l'entrée DNS interne. - [ ] Valider le certificat TLS ou la politique de certificat interne. - [ ] Valider les flux entrants : 443, et 22 si SSH autorisé. - [ ] Valider les flux sortants nécessaires à l'installation. - [ ] Définir les sources autorisées pour le dashboard. - [ ] Définir le mode d'accès d'administration distant. - [ ] Confirmer la politique antivirus / EDR applicable. - [ ] Confirmer la politique de rétention des traces techniques. - [ ] Identifier le référent DSI pour le test de raccordement. --- ## 10. Questions ouvertes 1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ? 2. Quel mode d'accès distant la DSI souhaite-t-elle utiliser pour l'administration système ? 3. Quels postes ou sous-réseaux peuvent accéder au dashboard ? 4. Quelle politique TLS interne appliquer au reverse proxy ? 5. Politique EDR/antivirus imposée sur Ubuntu/DGX ? 6. Rétention acceptée pour les traces techniques locales au DGX ? 7. Nom DNS interne final du DGX ? --- ## 11. Références internes - Document complet : `docs/POC/RESEAU_CLINIQUE_2026-05-28.md` - Portage technique DGX : `docs/POC/PORTAGE_DGX_SPARK_2026-05-28.md`