- 21 docs/*.md: audits, design notes, deployment plans, checklists, memos - Coordination: ROLES, runbooks (DGX reboot, Lea live), patches, registre, syntheses, systemd, QG template - Handoffs: 6 Codex handoff documents + README + template
3.0 KiB
3.0 KiB
Flux réseau Léa ↔ DGX — demande DSI (mise en service clinique)
Date: 2026-06-24Objet: autoriser les postes TIM (client Léa) à dialoguer avec le serveur DGX, en environnement VLAN segmenté.Interlocuteur: DSI clinique.
1. Contexte
- Le serveur DGX est raccordé au VLAN
192.168.1.0/24, adresse192.168.1.178(réservation DHCP / IP statique, MAC10:B6:76:F0:2F:F4, gateway192.168.1.243). - Les postes TIM exécutent le client Léa (agent léger). Léa se connecte en sortie vers le DGX : le poste appelle le serveur, le serveur n'initie jamais de connexion vers le poste.
- Le réseau étant segmenté en VLAN : si les postes sont sur un VLAN différent de celui du DGX, le routage inter-VLAN doit autoriser les flux ci-dessous.
- Déploiement 100 % local : aucun flux internet n'est requis pour Léa (pas de cloud, pas de NAT entrant).
2. Flux à autoriser — poste TIM → DGX 192.168.1.178 (TCP)
| Port | Service | Usage | Auth applicative |
|---|---|---|---|
| 5005 | Streaming Léa | Canal principal : enrôlement, remontée des captures, réception des étapes | Jeton Bearer |
| 5001 | Dashboard | Enrôler un poste + télécharger l'installeur (navigateur) | Basic (compte lea) |
| 5004 | Agent-chat | Orchestration Léa | Jeton |
| (3002 / 5002) | Visual Workflow Builder | Optionnel — poste admin uniquement, non requis sur chaque poste TIM | Basic (compte lea) |
- Sens : connexions sortantes du poste vers le DGX. Le trafic retour passe par les connexions établies → si le pare-feu DSI est stateful, aucune règle entrante spécifique n'est à créer.
- Uniquement TCP unicast vers
192.168.1.178. Pas de multicast/broadcast.
3. Sécurité
- Tous les services exposés sont authentifiés (jeton Bearer ou Basic) → l'ouverture n'expose aucun service anonyme.
- Aucune exposition internet : pas de NAT entrant, pas de cloud, traitement 100 % local sur le DGX.
- Côté DGX, un pare-feu local (
rpa-firewall) restreint déjà 5004/5005 à une liste blanche de sous-réseaux ; il sera complété avec le sous-réseau du VLAN des postes.
4. Demandes à la DSI
- Communiquer le sous-réseau du VLAN des postes TIM (ex.
192.168.X.0/24) → pour compléter le pare-feu du DGX. - Autoriser le routage / les ACL inter-VLAN pour les flux du §2, du VLAN postes vers
192.168.1.178. - Alternative la plus simple (si acceptable côté sécurité) : raccorder les postes TIM sur le même VLAN que le DGX (
192.168.1.0/24) → plus aucun réglage inter-VLAN ; le pare-feu DGX les autorise déjà.
5. Côté éditeur (déjà en place)
- DGX : 12 services actifs, pare-feu local opérationnel et persistant (survit au reboot).
- Ajout du sous-réseau postes au pare-feu DGX = une seule règle, persistée et réversible, applicable immédiatement en live dès que le sous-réseau est connu.