Files
rpa_vision_v3/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md

7.7 KiB

Pré-requis techniques DSI - intégration DGX Spark POC agent

Date : 2026-06-01 Objet : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique. Projet : RPA Vision V3 - serveur d'inférence, supervision et coordination d'agents de poste Windows. Interlocuteur technique projet : Dominique Bazin.


1. Synthèse technique

Le DGX Spark sera installé sur site, dans le réseau de la clinique, pour héberger les services serveur du POC.

Les postes utilisateurs restent des PC Windows existants. Un agent poste Windows y est installé et communique avec le DGX en HTTPS sur le LAN clinique.

Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit :

  • les APIs applicatives ;
  • le dashboard d'administration et de supervision ;
  • le service de streaming des agents ;
  • l'inférence visuelle locale.

Tous les services applicatifs sont prévus en containers Docker.


2. Architecture réseau attendue

Postes Windows équipés d'un agent
        |
        | HTTPS TCP 443 - LAN clinique
        v
DGX Spark on-premise
        |
        +-- reverse proxy HTTPS
        +-- dashboard administration / supervision
        +-- API backend applicative
        +-- API streaming agents
        +-- moteur d'inférence local, non exposé au LAN

Le moteur d'inférence reste accessible uniquement par les services locaux du DGX.


3. Services hébergés

Service Port interne indicatif Exposition attendue
Reverse proxy HTTPS 443 LAN clinique
Dashboard administration / supervision 5001 Via reverse proxy HTTPS
Backend applicatif 5002 Via reverse proxy HTTPS
Streaming agents 5005 Via reverse proxy HTTPS
Moteur d'inférence local 11434 Interne DGX uniquement

Les ports internes ne doivent pas être exposés directement au LAN. L'exposition applicative passe par le reverse proxy HTTPS.


4. Besoins matériels et réseau local

Élément Besoin
Emplacement Salle technique ou zone contrôlée
Alimentation Prise standard, prévoir environ 300 W en pointe
Réseau Ethernet filaire
Wi-Fi Désactivé en environnement clinique sauf demande DSI contraire
Adresse IP 1 IP fixe ou réservation DHCP par MAC
Hostname souhaité rpa-spark-01 ou nom conforme à la nomenclature DSI
DNS interne Résolution du hostname depuis les postes utilisateurs et postes d'administration
NTP Accès à un serveur NTP clinique ou autorisé
VLAN À confirmer par la DSI : VLAN poste, serveur ou VLAN dédié POC

La MAC du DGX sera communiquée lors de l'installation physique.


5. Flux entrants demandés

Source Destination Port Protocole Usage
Postes Windows équipés DGX Spark 443 TCP HTTPS API agent, streaming, accès applicatif
Postes d'administration autorisés DGX Spark 443 TCP HTTPS Accès dashboard
Réseau d'administration validé par la DSI DGX Spark 22 TCP SSH Administration système, optionnel

Notes :

  • aucun port entrant depuis Internet n'est demandé ;
  • l'accès SSH peut être limité au réseau d'administration DSI, à un VPN DSI, ou supprimé si une autre procédure d'administration est retenue ;
  • les ports internes applicatifs restent non exposés directement.

6. Flux sortants demandés

Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA.

Destination Port Usage
DNS clinique 53 TCP/UDP Résolution DNS
NTP clinique ou autorisé 123 UDP Synchronisation horaire
ports.ubuntu.com, security.ubuntu.com, archive.ubuntu.com 80, 443 Mises à jour Ubuntu
developer.download.nvidia.com, apt.nvidia.com 443 Pilotes / CUDA NVIDIA
registry-1.docker.io, auth.docker.io, index.docker.io 443 Images Docker
registry.ollama.ai 443 Modèles d'inférence
huggingface.co, cdn-lfs.huggingface.co 443 Modèles IA
github.com, objects.githubusercontent.com, raw.githubusercontent.com 443 Déploiement / mises à jour applicatives
pypi.org, files.pythonhosted.org 443 Dépendances Python

Ces flux peuvent être ouverts temporairement pour l'installation puis restreints selon la politique DSI.


7. Accès d'administration

7.1 Dashboard web

Élément Pré-requis
URL URL interne à définir, par exemple https://rpa-spark-01.[domaine interne]/
Port 443 HTTPS via reverse proxy
Sources autorisées Postes d'administration ou réseau d'administration validés par la DSI
Authentification Authentification applicative et/ou restriction réseau, à valider avec la DSI
Exposition Internet Aucune
Usage Supervision, état des agents, téléchargement d'installateurs, suivi des services, configuration opérationnelle

À prévoir côté DSI :

  • définir qui peut accéder au dashboard ;
  • valider le nom DNS interne ;
  • valider le certificat TLS interne ou le mode de certificat accepté ;
  • décider si l'accès dashboard est limité à un VLAN, à des postes admin, ou à un accès distant DSI.

7.2 Administration système

Élément Pré-requis
Protocole SSH
Port 22 TCP, si autorisé
Source Réseau d'administration ou accès distant validé par la DSI
Authentification Clé SSH uniquement
Root direct Désactivé
Compte admin Compte nominatif à définir avec la DSI
Journalisation Logs SSH et sudo conservés localement

Principes :

  • pas de SSH par mot de passe ;
  • pas de root direct ;
  • activité admin journalisée ;
  • accès supprimable en fin de POC ou sur demande DSI.

8. Sécurité et données

Principes techniques :

  • déploiement 100 % on-premise ;
  • pas d'exposition publique Internet ;
  • inférence IA locale au DGX ;
  • aucun modèle IA externe appelé pour traiter les écrans utilisateurs ;
  • logs et données techniques conservés localement sur le DGX ;
  • chiffrement disque ou partition de données à valider avec la DSI ;
  • politique de rétention à valider avec la DSI / DPO avant mise en service.

Point technique à arbitrer :

  • le mode apprentissage peut produire des traces techniques locales de session pendant une durée limitée ;
  • la durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être validés avant exploitation sur données réelles.

9. Checklist DSI avant installation

  • Confirmer le VLAN d'accueil.
  • Réserver l'adresse IP ou valider l'IP statique.
  • Créer l'entrée DNS interne.
  • Valider le certificat TLS ou la politique de certificat interne.
  • Valider les flux entrants : 443, et 22 si SSH autorisé.
  • Valider les flux sortants nécessaires à l'installation.
  • Définir les sources autorisées pour le dashboard.
  • Définir le mode d'accès d'administration distant.
  • Confirmer la politique antivirus / EDR applicable.
  • Confirmer la politique de rétention des traces techniques.
  • Identifier le référent DSI pour le test de raccordement.

10. Questions ouvertes

  1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ?
  2. Quel mode d'accès distant la DSI souhaite-t-elle utiliser pour l'administration système ?
  3. Quels postes ou sous-réseaux peuvent accéder au dashboard ?
  4. Quelle politique TLS interne appliquer au reverse proxy ?
  5. Politique EDR/antivirus imposée sur Ubuntu/DGX ?
  6. Rétention acceptée pour les traces techniques locales au DGX ?
  7. Nom DNS interne final du DGX ?

11. Références internes

  • Document complet : docs/POC/RESEAU_CLINIQUE_2026-05-28.md
  • Portage technique DGX : docs/POC/PORTAGE_DGX_SPARK_2026-05-28.md