# Infrastructure — accès hôte et réseau

## Première cible

Un **poste Linux client** se connecte en **SSH** à un **serveur** qui porte le socle IA, les clones Git et les services associés. Voir [deployment-target.md](./deployment-target.md).

## Identité SSH

- Script d’aide : [`../setup/add-ssh-key.sh`](../setup/add-ssh-key.sh) ; autres scripts d’hôte dans [`../setup/`](../setup/).
- Le compte utilisateur sur le serveur doit être autorisé à atteindre les chemins où tournent les agents, AnythingLLM et les données projet.

## Réseau

- Les services écoutant sur `127.0.0.1` du **serveur** ne sont pas joignables depuis le client sans **tunnel SSH** (`ssh -L …`), **ProxyJump**, VPN ou équivalent, selon la politique du LAN / bastion.
- Ne pas exposer en clair sur Internet des API internes (Local Office, micro-services `services/*`) sans reverse proxy, TLS et contrôle d’accès.

## Documentation liée

- [deployment-target.md](./deployment-target.md)  
- [services.md](./services.md)  
- [system-architecture.md](./system-architecture.md)