Prérequis d’installation

1) DNS (pré‑requis TLS)

Créer des entrées DNS de type A (même IP publique) :

• nexus.votredomaine.tld → IP publique du serveur
• console-minio.votredomaine.tld → IP publique du serveur
• qdrant.votredomaine.tld → IP publique du serveur

Système

• OS : Ubuntu 22.04+ (ou Debian 12).
• CPU/RAM : min. 4 vCPU / 8 Go RAM pour un petit déploiement (ingestion Docling + Torch est coûteux lors du build).
• Disque : 50 Go libres recommandés (images + cache build + volumes MinIO/Qdrant/Postgres).

Logiciels

• Docker Engine ≥ 24 + plugin Docker Compose (v2).
  • Vérifier : docker --version, docker compose version.
• Python 3.10+ (pour le wizard) + pip.
• Caddy (reverse-proxy TLS).
  • Installer : sudo apt install caddy
• (Option) curl, git, make pour les utilitaires.
• (Option) Aurora Scraper (recommandé si vous souhaitez faire de la recherche web + ingestion par lots).
  • Scraper n’est pas obligatoire pour utiliser Nexus.
  • Si installé, prévoyez son URL publique (ex. https://scraper.votredomaine.tld) pour l’intégrer dans l’UI Nexus.

Réseau / Ports

• Connexion Internet active (téléchargement images + appels LLM).
• Par défaut bind sur 127.0.0.1. Ports à réserver :
  • UI HOST_UI_PORT (3000), API HOST_API_PORT (8000), Gateway HOST_GATEWAY_PORT (8100), Postgres POSTGRES_HOST_PORT (5432), Qdrant HOST_QDRANT_PORT (6333), MinIO API/Console HOST_MINIO_API_PORT/HOST_MINIO_CONSOLE_PORT (9000/9001), Redis HOST_REDIS_PORT (16379).
• Si reverse-proxy : prévoir les FQDN (ex. nexus.votredomaine.tld, console-minio.votredomaine.tld, qdrant.votredomaine.tld) + certificats TLS.
• Si vous utilisez Caddy avec certificats automatiques (Let's Encrypt / ZeroSSL), les ports 80/tcp et 443/tcp doivent être ouverts publiquement vers le serveur.
• Vérifier aussi le firewall local et le firewall du fournisseur (ex. OVH / security group). Un Caddy en écoute locale ne suffit pas si l’entrée réseau est bloquée.
• Vérifications recommandées :
  • sudo ss -ltnp | grep -E ':(80|443)\b'
  • sudo ufw status verbose
• Si UFW est actif, autoriser explicitement :
  • sudo ufw allow 80/tcp
  • sudo ufw allow 443/tcp
• Si vous exposez la console MinIO ou Qdrant, créer aussi les entrées DNS A correspondantes vers l’IP du serveur.
• Nom de domaine : choisir le sous‑domaine qui exposera Nexus (ex. nexus.votredomaine.tld) et l’URL publique associée (https://...).

Clés et secrets à portée de main

• OpenAI API key (embeddings) obligatoire
  • https://platform.openai.com/api-keys
• OpenRouter API key (runtime) — obligatoire pour les requêtes LLM.
  • https://openrouter.ai/keys
• OpenRouter Usage API key (optionnelle, usage/cost).
  • https://openrouter.ai/keys
  • Si vous n’en avez pas, laissez vide.
• FreeCurrency API key (taux EUR) — obligatoire pour la conversion $/€.
  • https://freecurrencyapi.com/
• Secrets internes : le wizard peut en générer (JWT, Postgres, MinIO, Gateway, Fernet). Garder un endroit sûr pour les stocker.

Droits et sécurité

• Compte utilisateur avec droits Docker (ou root).
  • Si docker renvoie “permission denied”, exécuter :
    • sudo usermod -aG docker $USER
    • puis déconnexion/reconnexion (ou newgrp docker).
• Droits d’écriture requis :
  • ~/Apps/ (clone du repo).
  • /etc/aurora/ (fichier env de prod, nécessite sudo).
  • /etc/caddy/Caddyfile (reverse‑proxy, nécessite sudo).
• Le fichier .env ne doit pas être dans Git. Stockage recommandé : /etc/aurora/prod.env (chmod 600) ou un secret manager.

Vérifications rapides

• docker info (cgroup v2 OK).
• docker compose ls (aucun conflit de projet sur les mêmes ports).
• Espace disque : df -h (≥ 50 Go libres).
• RAM libre : free -h (≥ 4 Go libres pour le build).