Files
rpa_vision_v3/docs/RESEAU_CLINIQUE_FLUX_LEA_DGX_2026-06-24.md
Dom 6907ecc82f docs: track design docs, plans, audits, coordination infrastructure, handoffs
- 21 docs/*.md: audits, design notes, deployment plans, checklists, memos
- Coordination: ROLES, runbooks (DGX reboot, Lea live), patches, registre, syntheses, systemd, QG template
- Handoffs: 6 Codex handoff documents + README + template
2026-07-02 13:29:58 +02:00

3.0 KiB

Flux réseau Léa ↔ DGX — demande DSI (mise en service clinique)

  • Date : 2026-06-24
  • Objet : autoriser les postes TIM (client Léa) à dialoguer avec le serveur DGX, en environnement VLAN segmenté.
  • Interlocuteur : DSI clinique.

1. Contexte

  • Le serveur DGX est raccordé au VLAN 192.168.1.0/24, adresse 192.168.1.178 (réservation DHCP / IP statique, MAC 10:B6:76:F0:2F:F4, gateway 192.168.1.243).
  • Les postes TIM exécutent le client Léa (agent léger). Léa se connecte en sortie vers le DGX : le poste appelle le serveur, le serveur n'initie jamais de connexion vers le poste.
  • Le réseau étant segmenté en VLAN : si les postes sont sur un VLAN différent de celui du DGX, le routage inter-VLAN doit autoriser les flux ci-dessous.
  • Déploiement 100 % local : aucun flux internet n'est requis pour Léa (pas de cloud, pas de NAT entrant).

2. Flux à autoriser — poste TIM → DGX 192.168.1.178 (TCP)

Port Service Usage Auth applicative
5005 Streaming Léa Canal principal : enrôlement, remontée des captures, réception des étapes Jeton Bearer
5001 Dashboard Enrôler un poste + télécharger l'installeur (navigateur) Basic (compte lea)
5004 Agent-chat Orchestration Léa Jeton
(3002 / 5002) Visual Workflow Builder Optionnel — poste admin uniquement, non requis sur chaque poste TIM Basic (compte lea)
  • Sens : connexions sortantes du poste vers le DGX. Le trafic retour passe par les connexions établies → si le pare-feu DSI est stateful, aucune règle entrante spécifique n'est à créer.
  • Uniquement TCP unicast vers 192.168.1.178. Pas de multicast/broadcast.

3. Sécurité

  • Tous les services exposés sont authentifiés (jeton Bearer ou Basic) → l'ouverture n'expose aucun service anonyme.
  • Aucune exposition internet : pas de NAT entrant, pas de cloud, traitement 100 % local sur le DGX.
  • Côté DGX, un pare-feu local (rpa-firewall) restreint déjà 5004/5005 à une liste blanche de sous-réseaux ; il sera complété avec le sous-réseau du VLAN des postes.

4. Demandes à la DSI

  1. Communiquer le sous-réseau du VLAN des postes TIM (ex. 192.168.X.0/24) → pour compléter le pare-feu du DGX.
  2. Autoriser le routage / les ACL inter-VLAN pour les flux du §2, du VLAN postes vers 192.168.1.178.
  3. Alternative la plus simple (si acceptable côté sécurité) : raccorder les postes TIM sur le même VLAN que le DGX (192.168.1.0/24) → plus aucun réglage inter-VLAN ; le pare-feu DGX les autorise déjà.

5. Côté éditeur (déjà en place)

  • DGX : 12 services actifs, pare-feu local opérationnel et persistant (survit au reboot).
  • Ajout du sous-réseau postes au pare-feu DGX = une seule règle, persistée et réversible, applicable immédiatement en live dès que le sous-réseau est connu.