- 21 docs/*.md: audits, design notes, deployment plans, checklists, memos - Coordination: ROLES, runbooks (DGX reboot, Lea live), patches, registre, syntheses, systemd, QG template - Handoffs: 6 Codex handoff documents + README + template
5.0 KiB
5.0 KiB
Tableau d'actions Dom — finalisation phase pré-clinique
Date: 2026-06-21 (vivant, mis à jour par Claude + Qwen au fil des validations)Objectif: à la clinique, Dom ne fait que brancher le DGX + installer Léa. Tout le reste validé avant.
A. Validé automatiquement — AUCUNE action Dom ✅
| Item | Preuve |
|---|---|
| 9 services RPA actifs + enabled (reboot-persistant) | systemctl is-enabled = enabled ×9 |
| Dashboard online, 24 workflows, KB OK | /api/system/status, /api/knowledge-base/stats |
| Worker apprentissage armé (idle) | processing status: running/armed |
| VWB backend 5002 + frontend 3002 | HTTP 200 |
| Agent-chat 5004 | /api/status OK |
| Grounder vLLM | service enabled+active (8000/8001) |
| VM Win11 auto-start | win11-arm-lea enabled + Linger=yes |
| WireGuard serveur DGX | wg-quick@wg0 enabled+active |
| SSH cert-only (no password, CA) | prouvé depuis .40 |
| RDP VM (chaîne tunnel→guest) | prouvé depuis .40 (LOGON nego OK) |
| Firewall persistant (ports sensibles loopback) | rpa-firewall enabled, scan LAN |
| Fleet / enrôlement | ✅ /api/v1/agents/fleet → 7 machines enrôlées (corrige Qwen « 0 ») |
| Grounder vLLM Qwen3-VL-4B | ✅ enabled+active (8000/8001) = grounder de prod (corrige Qwen « dégradé ») |
| Données : FAISS 13666, anchors 468, 24 wf | ✅ (Qwen, re-vérifié) |
B. Actions DOM — à faire (avec mon guidage) 👤
| # | Action | État |
|---|---|---|
| 1 | Box : port-forward UDP 51820 → 192.168.1.45 (Freebox) | ✅ fait — reste activer WireGuard sur le laptop |
| 2 | Laptop .11 : installer bundle SSH (cert) + DGX-Lea.conf + lanceur RDP |
à faire |
| 3 | GO sur les correctifs prod confirmés (tableau B′ ci-dessous) | à faire |
| 4 | Valider config.txt Léa (.45+token) avant déploiement VM |
à faire |
| 5 | GO design auto-réparation OVMF | à faire |
| 6 | (Jour clinique) IP statique Ethernet .178 + exclusion DHCP .45 labo |
clinique |
| 7 | (Hardening) BIOS DGX Power-On au retour secteur | clinique |
B′. Correctifs prod confirmés (cross-validés) — à exécuter sous GO Dom 🔧
| Item | Détail | Owner |
|---|---|---|
RPA_SIGNING_KEY absent .env.local |
HMAC métadonnées FAISS (« Option A ») | Claude/Qwen + GO |
Git DGX pas aligné (ec1fb81→cf81ce4c7) |
active auth VWB LAN ; backup workflows.db AVANT reset |
Claude + GO |
| config.txt Léa non déployée (VM) | transférer après validation .45+token |
Qwen + GO |
| Guest SSH VM (22220) ne répond pas | sshd guest down (forward OK) ; Léa gérable via RDP sinon | Qwen/Dom |
| workflows_count 24/79/37 | expliqué : 24=VWB visuels, 79=catalogue agent-chat, 37=KB/FAISS → Dom choisit la métrique produit | clarifié |
C. En cours de validation — Claude + Qwen (preuve + re-vérif croisée) 🔄
| Item | Owner | État |
|---|---|---|
| WireGuard bout-en-bout (handshake depuis l'extérieur) | Claude | bloqué sur B-1 (box) |
RDP depuis .11 |
Dom+Claude | bloqué sur B-2 |
| Chaîne d'apprentissage e2e (capture→upload→grounding→workflow→replay) | Qwen | à prouver (worker armé, 0 session) |
| Léa enrôlement fleet | Claude | ✅ système OK (/api/v1/agents/fleet, 2 machines) MAIS last_seen pré-panne → relancer Léa dans la VM pour re-check |
| Léa sur VM Win11 | Dom (RDP)+Qwen | à lancer (enrôlée, pas connectée depuis reboot) |
Léa sur laptop .11 |
Dom | bloqué sur B-2 (install) |
Léa sur serveur .40 (Linux) |
Qwen | ✅ faisable (agent_v1 cross-platform : config Linux, window_info X11/xdotool, orchestrateur Léa-first agent-chat Linux) → à tester |
| Fleet endpoint | Claude | ✅ résolu : /api/v1/agents/fleet (Bearer) ou proxy /api/fleet/fleet |
| Perf : agent-chat CLIP sur CPU (pas GPU) | Claude/Qwen | à noter (vérifier si voulu) |
D. Jour clinique — le minimum (objectif atteint si A+B+C verts)
- Brancher le DGX (réseau clinique Ethernet
.178). - Installer Léa sur les postes. → tout le reste déjà validé et figé.
E. Portage clinique — bascule WiFi .45 → Ethernet .178 (point Dom)
Principe : sur WireGuard, le DGX est toujours 10.10.0.1, indépendant du réseau physique. ssh dgx-vpn + RDP (DGX_HOST=10.10.0.1) marchent à l'identique labo et clinique. Le changement d'IP est invisible pour l'accès distant.
| Ce qui change à la clinique | Action |
|---|---|
| Routeur clinique forward UDP 51820 → 192.168.1.178 | Dom + DSI (équivalent du forward Freebox vers .45) |
| Endpoint config WireGuard = IP publique clinique | Claude régénère DGX-Lea.conf quand IP connue |
DGX bascule sur profil Ethernet .178 |
déjà pré-configuré (Connexion filaire 3) |
| Host cert SSH | ✅ déjà : principals incluent 192.168.1.178 |
| CA, SSH cert-only, serveur WG, forward RDP, lanceurs | ✅ config locale DGX → rejouée telle quelle |
Ne PAS toucher la carte Ethernet .178 au labo (consigne Dom). Au labo = WiFi only.