Managed Service for Apache Airflow 원격 MCP 서버 사용

Managed Airflow (3세대) | Managed Airflow (2세대) | Managed Airflow (기존 1세대)

이 문서에서는 Managed Service for Apache Airflow 원격 모델 컨텍스트 프로토콜 (MCP) 서버를 사용하여 Gemini CLI, ChatGPT, Claude와 같은 AI 애플리케이션 또는 개발 중인 AI 애플리케이션에서 Managed Service for Apache Airflow에 연결하는 방법을 설명합니다. 관리형 Airflow MCP 서버를 사용하면 관리형 Airflow 환경을 관리하고 실행된 DAG 실행 및 Airflow 작업에 관한 세부정보를 확인할 수 있습니다.

모델 컨텍스트 프로토콜(MCP)은 대규모 언어 모델 (LLM)과 AI 애플리케이션 또는 에이전트가 외부 데이터 소스에 연결되는 방식을 표준화합니다. MCP 서버를 사용하면 도구, 리소스, 프롬프트를 사용하여 백엔드 서비스에서 작업을 실행하고 업데이트된 데이터를 가져올 수 있습니다.

로컬 MCP 서버와 원격 MCP 서버의 차이점은 무엇인가요?

로컬 MCP 서버

일반적으로 로컬 머신에서 실행되며 동일한 기기의 서비스 간 통신을 위해 표준 입력 및 출력 스트림 (stdio)을 사용합니다.

원격 MCP 서버

서비스의 인프라에서 실행되며 AI MCP 클라이언트와 MCP 서버 간 통신을 위해 AI 애플리케이션에 HTTP 엔드포인트를 제공합니다. MCP 아키텍처에 대한 자세한 내용은 MCP 아키텍처를 참고하세요.

Google 및 Google Cloud 원격 MCP 서버

• 간소화된 중앙 집중식 검색
• 관리형 전역 또는 리전 HTTP 엔드포인트
• 세부적인 승인
• Model Armor 보호를 사용한 선택적 프롬프트 및 응답 보안
• 중앙 집중식 감사 로깅

다른 MCP 서버에 대한 정보와 Google Cloud MCP 서버에 사용할 수 있는 보안 및 거버넌스 제어에 대한 정보는 Google Cloud MCP 서버 개요를 참고하세요.

시작하기 전에

Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Managed Airflow API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Google Cloud CLI를 설치합니다.

외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Managed Airflow API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Google Cloud CLI를 설치합니다.

외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

gcloud CLI를 초기화하려면, 다음 명령어를 실행합니다.

gcloud init

필요한 역할

Managed Service for Apache Airflow MCP 서버를 사용 설정하는 데 필요한 권한을 얻으려면 관리자에게 Managed Service for Apache Airflow MCP 서버를 사용 설정할 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

• 서비스 사용량 관리자 (roles/serviceusage.serviceUsageAdmin)
• MCP 도구 호출: MCP 도구 사용자 (roles/mcp.toolUser)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

인증 및 승인

리소스에 대한 액세스를 제어하고 모니터링할 수 있도록 MCP 도구를 사용하는 상담사를 위한 별도의 ID를 만드는 것이 좋습니다. 인증에 대한 자세한 내용은 MCP 서버에 인증을 참고하세요.

Managed Service for Apache Airflow MCP OAuth 범위

OAuth 2.0은 범위와 사용자 인증 정보를 사용하여 인증된 주 구성원이 리소스에 대해 특정 작업을 수행할 권한이 있는지 확인합니다. Google의 OAuth 2.0 범위에 대한 자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스하기를 참고하세요.

Managed Service for Apache Airflow에는 다음과 같은 MCP 도구 OAuth 범위가 있습니다.

Managed Service for Apache Airflow MCP 서버를 사용하도록 MCP 클라이언트 구성

Claude 또는 Gemini CLI와 같은 AI 애플리케이션과 에이전트는 단일 MCP 서버에 연결되는 MCP 클라이언트를 인스턴스화할 수 있습니다. AI 애플리케이션에는 서로 다른 MCP 서버에 연결되는 여러 클라이언트가 있을 수 있습니다. 원격 MCP 서버에 연결하려면 MCP 클라이언트가 원격 MCP 서버의 URL을 알아야 합니다.

AI 애플리케이션에서 원격 MCP 서버에 연결하는 방법을 찾습니다. 이름, URL 등 서버에 관한 세부정보를 입력하라는 메시지가 표시됩니다.

Managed Service for Apache Airflow MCP 서버의 경우 필요에 따라 다음을 입력합니다.

• 서버 이름: Managed Service for Apache Airflow MCP 서버
• 엔드포인트: composer.{region}.rep.googleapis.com/mcp
• 전송: HTTP
• 인증 세부정보: 인증 방법에 따라 Google Cloud 사용자 인증 정보, OAuth 클라이언트 ID 및 보안 비밀번호 또는 에이전트 ID 및 사용자 인증 정보를 입력할 수 있습니다. 인증에 대한 자세한 내용은 MCP 서버에 인증을 참고하세요.
• OAuth 범위: Managed Service for Apache Airflow MCP 서버에 연결할 때 사용할 OAuth 2.0 범위입니다.

MCP 서버 설정 및 연결에 관한 호스트별 안내는 다음을 참고하세요.

• Claude.ai
• Gemini CLI

일반적인 안내는 다음 리소스를 참고하세요.

• 원격 MCP 서버에 연결
• AI 애플리케이션에서 MCP 구성

사용 가능한 도구

읽기 전용인 MCP 도구의 MCP 속성 mcp.tool.isReadOnly은 true로 설정됩니다. 조직 정책을 통해 특정 환경에서 읽기 전용 도구만 허용할 수 있습니다.

Managed Service for Apache Airflow MCP 서버에서 사용 가능한 MCP 도구의 세부정보와 설명을 보려면 Managed Service for Apache Airflow MCP 참조를 참고하세요.

목록 도구

MCP 검사기를 사용하여 도구를 나열하거나 tools/list HTTP 요청을 Managed Service for Apache Airflow 원격 MCP 서버에 직접 전송합니다. tools/list 메서드는 인증이 필요하지 않습니다.

POST /mcp HTTP/1.1
Host: composer.{region}.rep.googleapis.com/mcp
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

사용 사례

다음은 Managed Service for Apache Airflow MCP 서버의 사용 사례입니다.

환경 상태 설명

이 샘플 사용 사례에서는 프로젝트의 환경에 관해 질문합니다.

현재 실행 상태가 아닌 us-central1의 모든 Managed Airflow 환경을 찾습니다. 오류 상태인 환경이 있으면 이 환경이 마지막으로 업데이트된 시간과 환경의 워크로드 구성을 알려 줘.

워크플로: Managed Airflow 환경을 설명하는 것은 다음과 같을 수 있습니다.

• 환경 목록 보기: 에이전트는 list_environments를 사용하여 지정된 리전의 환경 목록과 마지막 업데이트 시간에 관한 정보를 가져옵니다.

커스텀 PyPI 패키지로 새 Managed Airflow 환경 만들기

이 샘플 사용 사례에서는 새 Managed Airflow 환경을 만든 다음 여기에 맞춤 PyPI 패키지를 설치합니다.

샘플 프롬프트:

내 프로젝트에 Airflow 2를 사용하여 새로운 Managed Airflow (3세대) 환경을 만듭니다. 그런 다음 nltk[machine_learning] 패키지를 설치합니다. example-account@example-project를 사용합니다.iam.gserviceaccount.com 환경의 서비스 계정으로 바꿉니다.

워크플로: 새 Managed Airflow 환경을 만든 다음 여기에 커스텀 PyPI 패키지를 설치하는 작업은 다음과 같이 표시될 수 있습니다.

• 환경 만들기: 에이전트는 create_environment를 사용하여 제공된 구성 매개변수로 새 환경을 만듭니다. 에이전트는 Airflow UI에 액세스할 수 있는 IP 주소 목록과 같은 추가 구성 매개변수에 관해 질문합니다.

• 패키지 설치: 에이전트가 manage_pypi_packages를 호출하여 지정된 PyPI 패키지를 설치합니다.

실패한 DAG 실행 및 태스크 문제 해결

us-central1에서 example-environment-name Managed Airflow 환경을 확인합니다. example_dag가 실패하고 있습니다. 이유와 구체적으로 어떤 작업에서 실패하는지 알고 싶습니다. 또한 지난 24시간 동안 이 환경에서 실패한 다른 DAG에 대해서도 알려 줘.

워크플로: 실패한 DAG 실행 문제 해결은 다음과 같습니다.

• 실패한 DAG 실행 가져오기: 에이전트는 find_last_failed_dag_runs를 사용하여 지정된 환경에서 example_dag DAG의 실패한 DAG 실행 목록을 가져옵니다. 에이전트는 동일한 도구를 사용하여 실패한 모든 DAG 실행 목록을 가져옵니다.

• 실패한 DAG 실행 검사: 에이전트가 list_failed_task_instances를 호출하여 실패 상태인 DAG 실행의 작업 인스턴스 목록을 가져옵니다.

• 실패한 작업 로그 분석: 에이전트는 get_task_instance를 사용하여 로그를 가져오는 데 필요한 데이터를 비롯한 실패한 작업 인스턴스의 세부정보를 가져옵니다.

• DAG 소스 코드 검사: 에이전트는 get_dag_source_code를 사용하여 오류가 있는 실패한 작업 소스 코드를 분석합니다.

선택적 보안 및 안전 구성

MCP는 MCP 도구로 실행할 수 있는 다양한 작업으로 인해 새로운 보안 위험과 고려사항을 도입합니다. 이러한 위험을 최소화하고 관리하기 위해Google Cloud 에서는 Google Cloud조직 또는 프로젝트에서 MCP 도구 사용을 제어할 수 있는 기본 설정과 맞춤설정 가능한 정책을 제공합니다.

MCP 보안 및 거버넌스에 관한 자세한 내용은 AI 보안 및 안전을 참고하세요.

Model Armor 사용

Model Armor는 AI 애플리케이션의 보안과 안전을 강화하도록 설계된Google Cloud 서비스입니다. LLM 프롬프트와 대답을 선제적으로 검사하고, 다양한 위험으로부터 보호하며, 책임감 있는 AI 개발 관행을 지원합니다. 클라우드 환경에 AI를 배포하든 외부 클라우드 제공업체에 배포하든 Model Armor를 사용하면 악의적인 입력을 방지하고, 콘텐츠 안전을 검증하고, 민감한 정보를 보호하고, 규정을 준수하고, 다양한 AI 환경에서 AI 안전 및 보안 정책을 일관되게 적용할 수 있습니다.

로깅이 사용 설정된 상태로 Model Armor가 사용 설정되면 Model Armor는 전체 페이로드를 로깅합니다. 이로 인해 로그에 민감한 정보가 노출될 수 있습니다.

Model Armor 사용 설정

Model Armor를 사용하려면 먼저 Model Armor API를 사용 설정해야 합니다.

Google 및 Google Cloud 원격 MCP 서버 보호 구성

MCP 도구 호출과 응답을 보호하려면 Model Armor 최소 기준 설정을 사용하세요. 최소 기준 설정은 프로젝트 전체에 적용되는 최소 보안 필터를 정의합니다. 이 구성은 프로젝트 내의 모든 MCP 도구 호출 및 응답에 일관된 필터 집합을 적용합니다.

MCP 삭제가 사용 설정된 Model Armor 최소 기준 설정을 설정합니다. 자세한 내용은 Model Armor 최소 기준 설정 구성을 참고하세요.

다음 명령어 예를 참고하세요.

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다.

다음 설정을 참고하세요.

• INSPECT_AND_BLOCK: Google MCP 서버의 콘텐츠를 검사하고 필터와 일치하는 프롬프트와 응답을 차단하는 적용 유형입니다.
• ENABLED: 필터 또는 시행을 사용 설정하는 설정입니다.
• MEDIUM_AND_ABOVE: 책임감 있는 AI - 위험 필터 설정의 신뢰 수준입니다. 이 설정을 수정할 수 있지만 값이 낮으면 거짓양성이 더 많이 발생할 수 있습니다. 자세한 내용은 Model Armor 신뢰도 수준을 참고하세요.

Model Armor로 MCP 트래픽 스캔 사용 중지

프로젝트의 최소 기준 설정에 따라 Model Armor가 Google MCP 서버로 오가는 트래픽을 자동으로 검사하지 않도록 하려면 다음 명령어를 실행하세요.

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID를 Google Cloud 프로젝트 ID로 바꿉니다. Model Armor는 이 프로젝트의 최소 기준 설정에 정의된 규칙을 Google MCP 서버 트래픽에 자동으로 적용하지 않습니다.

Model Armor 최소 기준 설정과 일반 구성은 MCP뿐만 아니라 더 많은 부분에 영향을 미칠 수 있습니다. Model Armor는 Vertex AI와 같은 서비스와 통합되므로 최소 기준 설정을 변경하면 MCP뿐만 아니라 통합된 모든 서비스의 트래픽 검사 및 안전 동작에 영향을 미칠 수 있습니다.

IAM 거부 정책으로 MCP 사용 제어

Identity and Access Management (IAM) 거부 정책을 사용하면 Google Cloud 원격 MCP 서버를 보호할 수 있습니다. 원치 않는 MCP 도구 액세스를 차단하도록 이러한 정책을 구성합니다.

예를 들어 다음을 기준으로 액세스를 거부하거나 허용할 수 있습니다.

• 보안 주체
• 읽기 전용과 같은 도구 속성
• 애플리케이션의 OAuth 클라이언트 ID

자세한 내용은 Identity and Access Management로 MCP 사용 제어를 참고하세요.

다음 단계

• Managed Service for Apache Airflow MCP 참조 문서를 읽어보세요.
• Google Cloud MCP 서버에 대해 자세히 알아보세요.