7.7 KiB
Pré-requis techniques DSI - intégration DGX Spark POC agent
Date : 2026-06-01 Objet : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique. Projet : RPA Vision V3 - serveur d'inférence, supervision et coordination d'agents de poste Windows. Interlocuteur technique projet : Dominique Bazin.
1. Synthèse technique
Le DGX Spark sera installé sur site, dans le réseau de la clinique, pour héberger les services serveur du POC.
Les postes utilisateurs restent des PC Windows existants. Un agent poste Windows y est installé et communique avec le DGX en HTTPS sur le LAN clinique.
Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit :
- les APIs applicatives ;
- le dashboard d'administration et de supervision ;
- le service de streaming des agents ;
- l'inférence visuelle locale.
Tous les services applicatifs sont prévus en containers Docker.
2. Architecture réseau attendue
Postes Windows équipés d'un agent
|
| HTTPS TCP 443 - LAN clinique
v
DGX Spark on-premise
|
+-- reverse proxy HTTPS
+-- dashboard administration / supervision
+-- API backend applicative
+-- API streaming agents
+-- moteur d'inférence local, non exposé au LAN
Le moteur d'inférence reste accessible uniquement par les services locaux du DGX.
3. Services hébergés
| Service | Port interne indicatif | Exposition attendue |
|---|---|---|
| Reverse proxy HTTPS | 443 | LAN clinique |
| Dashboard administration / supervision | 5001 | Via reverse proxy HTTPS |
| Backend applicatif | 5002 | Via reverse proxy HTTPS |
| Streaming agents | 5005 | Via reverse proxy HTTPS |
| Moteur d'inférence local | 11434 | Interne DGX uniquement |
Les ports internes ne doivent pas être exposés directement au LAN. L'exposition applicative passe par le reverse proxy HTTPS.
4. Besoins matériels et réseau local
| Élément | Besoin |
|---|---|
| Emplacement | Salle technique ou zone contrôlée |
| Alimentation | Prise standard, prévoir environ 300 W en pointe |
| Réseau | Ethernet filaire |
| Wi-Fi | Désactivé en environnement clinique sauf demande DSI contraire |
| Adresse IP | 1 IP fixe ou réservation DHCP par MAC |
| Hostname souhaité | rpa-spark-01 ou nom conforme à la nomenclature DSI |
| DNS interne | Résolution du hostname depuis les postes utilisateurs et postes d'administration |
| NTP | Accès à un serveur NTP clinique ou autorisé |
| VLAN | À confirmer par la DSI : VLAN poste, serveur ou VLAN dédié POC |
La MAC du DGX sera communiquée lors de l'installation physique.
5. Flux entrants demandés
| Source | Destination | Port | Protocole | Usage |
|---|---|---|---|---|
| Postes Windows équipés | DGX Spark | 443 | TCP HTTPS | API agent, streaming, accès applicatif |
| Postes d'administration autorisés | DGX Spark | 443 | TCP HTTPS | Accès dashboard |
| Réseau d'administration validé par la DSI | DGX Spark | 22 | TCP SSH | Administration système, optionnel |
Notes :
- aucun port entrant depuis Internet n'est demandé ;
- l'accès SSH peut être limité au réseau d'administration DSI, à un VPN DSI, ou supprimé si une autre procédure d'administration est retenue ;
- les ports internes applicatifs restent non exposés directement.
6. Flux sortants demandés
Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA.
| Destination | Port | Usage |
|---|---|---|
| DNS clinique | 53 TCP/UDP | Résolution DNS |
| NTP clinique ou autorisé | 123 UDP | Synchronisation horaire |
ports.ubuntu.com, security.ubuntu.com, archive.ubuntu.com |
80, 443 | Mises à jour Ubuntu |
developer.download.nvidia.com, apt.nvidia.com |
443 | Pilotes / CUDA NVIDIA |
registry-1.docker.io, auth.docker.io, index.docker.io |
443 | Images Docker |
registry.ollama.ai |
443 | Modèles d'inférence |
huggingface.co, cdn-lfs.huggingface.co |
443 | Modèles IA |
github.com, objects.githubusercontent.com, raw.githubusercontent.com |
443 | Déploiement / mises à jour applicatives |
pypi.org, files.pythonhosted.org |
443 | Dépendances Python |
Ces flux peuvent être ouverts temporairement pour l'installation puis restreints selon la politique DSI.
7. Accès d'administration
7.1 Dashboard web
| Élément | Pré-requis |
|---|---|
| URL | URL interne à définir, par exemple https://rpa-spark-01.[domaine interne]/ |
| Port | 443 HTTPS via reverse proxy |
| Sources autorisées | Postes d'administration ou réseau d'administration validés par la DSI |
| Authentification | Authentification applicative et/ou restriction réseau, à valider avec la DSI |
| Exposition Internet | Aucune |
| Usage | Supervision, état des agents, téléchargement d'installateurs, suivi des services, configuration opérationnelle |
À prévoir côté DSI :
- définir qui peut accéder au dashboard ;
- valider le nom DNS interne ;
- valider le certificat TLS interne ou le mode de certificat accepté ;
- décider si l'accès dashboard est limité à un VLAN, à des postes admin, ou à un accès distant DSI.
7.2 Administration système
| Élément | Pré-requis |
|---|---|
| Protocole | SSH |
| Port | 22 TCP, si autorisé |
| Source | Réseau d'administration ou accès distant validé par la DSI |
| Authentification | Clé SSH uniquement |
| Root direct | Désactivé |
| Compte admin | Compte nominatif à définir avec la DSI |
| Journalisation | Logs SSH et sudo conservés localement |
Principes :
- pas de SSH par mot de passe ;
- pas de root direct ;
- activité admin journalisée ;
- accès supprimable en fin de POC ou sur demande DSI.
8. Sécurité et données
Principes techniques :
- déploiement 100 % on-premise ;
- pas d'exposition publique Internet ;
- inférence IA locale au DGX ;
- aucun modèle IA externe appelé pour traiter les écrans utilisateurs ;
- logs et données techniques conservés localement sur le DGX ;
- chiffrement disque ou partition de données à valider avec la DSI ;
- politique de rétention à valider avec la DSI / DPO avant mise en service.
Point technique à arbitrer :
- le mode apprentissage peut produire des traces techniques locales de session pendant une durée limitée ;
- la durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être validés avant exploitation sur données réelles.
9. Checklist DSI avant installation
- Confirmer le VLAN d'accueil.
- Réserver l'adresse IP ou valider l'IP statique.
- Créer l'entrée DNS interne.
- Valider le certificat TLS ou la politique de certificat interne.
- Valider les flux entrants : 443, et 22 si SSH autorisé.
- Valider les flux sortants nécessaires à l'installation.
- Définir les sources autorisées pour le dashboard.
- Définir le mode d'accès d'administration distant.
- Confirmer la politique antivirus / EDR applicable.
- Confirmer la politique de rétention des traces techniques.
- Identifier le référent DSI pour le test de raccordement.
10. Questions ouvertes
- VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ?
- Quel mode d'accès distant la DSI souhaite-t-elle utiliser pour l'administration système ?
- Quels postes ou sous-réseaux peuvent accéder au dashboard ?
- Quelle politique TLS interne appliquer au reverse proxy ?
- Politique EDR/antivirus imposée sur Ubuntu/DGX ?
- Rétention acceptée pour les traces techniques locales au DGX ?
- Nom DNS interne final du DGX ?
11. Références internes
- Document complet :
docs/POC/RESEAU_CLINIQUE_2026-05-28.md - Portage technique DGX :
docs/POC/PORTAGE_DGX_SPARK_2026-05-28.md