Ce document vous explique comment utiliser le serveur MCP (Model Context Protocol) Compute Engine à distance pour vous connecter à des applications d'IA, y compris l'CLI de ligne de commande Gemini, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP Compute Engine distant offre un ensemble complet de fonctionnalités qui permettent aux agents LLM d'effectuer diverses tâches de gestion de l'infrastructure, y compris les suivantes :
- Gérez des instances de machines virtuelles (VM).
- Gérez les gestionnaires de groupes d'instances et les modèles d'instances.
- Gérez les disques et les instantanés.
- Récupérez des informations sur les réservations et les engagements.
.
Le serveur MCP distant Compute Engine est activé lorsque vous activez l'API Compute Engine.
Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.
Quelle est la différence entre les serveurs MCP locaux et distants ?
- Serveurs MCP locaux
- S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.
- Serveurs MCP distants
- s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.
Serveurs MCP distants et Google Cloud
Les serveurs MCP Google et Google Cloud distants présentent les fonctionnalités et avantages suivants :- Découverte simplifiée et centralisée.
- Points de terminaison HTTP mondiaux ou régionaux gérés.
- Autorisation précise.
- Sécurité facultative des requêtes et des réponses avec la protection Model Armor.
- Journalisation centralisée des audits.
Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.
Avant de commencer
- Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Make sure that you have the following role or roles on the project: Compute Instance Admin (v1), Compute Security Admin, Service Account User, Service Usage Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
- Click Grant access.
-
In the New principals field, enter your user identifier. This is typically the email address for a Google Account.
- Click Select a role, then search for the role.
- To grant additional roles, click Add another role and add each additional role.
- Click Save.
-
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Make sure that you have the following role or roles on the project: Compute Instance Admin (v1), Compute Security Admin, Service Account User, Service Usage Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
- Click Grant access.
-
In the New principals field, enter your user identifier. This is typically the email address for a Google Account.
- Click Select a role, then search for the role.
- To grant additional roles, click Add another role and add each additional role.
- Click Save.
-
- Activez l'API Compute Engine.
Rôles requis
Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP distant Compute Engine, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet Google Cloud :
-
Effectuer des appels d'outils MCP :
Utilisateur de l'outil MCP (
roles/mcp.toolUser)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP distant Compute Engine. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour utiliser le serveur MCP distant Compute Engine :
-
Effectuer des appels d'outils MCP :
mcp.tools.call
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Vous devez également disposer des rôles et autorisations requis pour effectuer les opérations Compute Engine. Pour en savoir plus, consultez Rôles et autorisations Compute Engine.
Authentification et autorisation
Les serveurs MCP Compute Engine utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.
Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
Champs d'application OAuth MCP Compute Engine
OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.
Compute Engine dispose des champs d'application OAuth suivants pour l'outil MCP :
URI du champ d'application pour gcloud CLI Description https://www.googleapis.com/auth/compute.read-onlyOctroie un accès ne permettant que de lire les données. https://www.googleapis.com/auth/compute.read-writeOctroie un accès permettant de lire et de modifier les données. Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel. Pour afficher la liste des niveaux d'accès requis pour Compute Engine, consultez API Compute Engine.
Configurer un client MCP pour utiliser le serveur MCP Compute Engine
Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître l'URL du serveur MCP distant.
Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.
Pour le serveur MCP Compute Engine, saisissez les informations suivantes, si nécessaire :
- Nom du serveur : serveur MCP Compute Engine
- URL du serveur ou Point de terminaison : https://compute.googleapis.com/mcp
- Transport : HTTP
- Informations d'authentification : selon la méthode d'authentification que vous souhaitez utiliser, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
Pour obtenir des conseils spécifiques à l'hôte sur la configuration et la connexion au serveur MCP, consultez les articles suivants :
Pour obtenir des conseils plus généraux, consultez les ressources suivantes :
Outils disponibles
Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Compute Engine, consultez la documentation de référence sur le serveur MCP Compute Engine.
Outils de liste
Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP
tools/listdirectement au serveur MCP Compute Engine distant. La méthodetools/listne nécessite pas d'authentification.POST /mcp HTTP/1.1 Host: compute.googleapis.com Content-Type: application/json { "jsonrpc": "2.0", "method": "tools/list", }Exemples de cas d'utilisation
Les exemples de cas d'utilisation suivants décrivent comment utiliser le serveur MCP Compute Engine pour gérer les ressources Compute Engine :
- Inspecter et gérer les ressources Par exemple, pour comprendre l'allocation et la configuration des ressources dans votre projet, vous pouvez lister toutes les instances de calcul. Vous pouvez également trouver toutes les instances de calcul en cours d'exécution dans une zone à laquelle un accélérateur spécifique est associé, et afficher leur emplacement et leur nom pour la gestion des ressources.
- Nettoyez les ressources inutilisées pour réduire les coûts opérationnels. Par exemple, identifiez et nettoyez les instantanés de disque dans une zone qui ne sont plus associés à un disque source, ou identifiez et supprimez les instances de VM arrêtées auxquelles sont associées des ressources GPU coûteuses.
- Optimiser les performances de l'instance Par exemple, redimensionnez une instance de VM sous-provisionnée en utilisant un type de machine plus grand de la même famille, puis vérifiez que la mise à jour a bien été effectuée.
- Provisionnez des VM spécialisées pour les charges de travail d'IA avec une flexibilité de zone. Par exemple, créez une instance de VM avec un accélérateur GPU spécifique associé, dans n'importe quelle zone d'une région spécifiée où il est disponible.
- Résolvez les problèmes liés aux configurations d'instance et validez-les. Par exemple, récupérez les détails de configuration d'une instance de VM spécifique où le job est figé, redémarrez-la et vérifiez que l'accélérateur et le disque sous-jacents sont associés.
Exemples de requêtes
Voici des exemples de requêtes que vous pouvez utiliser pour effectuer des tâches à l'aide du serveur MCP Compute Engine :
- Répertoriez toutes les VM dans
PROJECT_ID, y compris le nom et la zone de la VM. - Affichez les détails de l'instance pour
VM_NAME. - Dans
REGION, recherchez tous les instantanés de disque dont le disque source n'existe plus. - Modifiez le type de machine de
VM_NAMEpour passer au type de machine immédiatement supérieur de la même famille, envoyez une notification lorsqu'il est de nouveau en ligne et confirmez le nouveau type de machine. - Recherchez toutes les VM en cours d'exécution dans
REGIONavec des accélérateurs NVIDIA, et affichez la zone et le nom de ces VM. - Créez une VM dans
ZONEavec un accélérateur NVIDIA T4 associé. Nommez la VMmy-nvidiat4-vm. - Recherchez toutes les VM arrêtées dans
REGIONavec des accélérateurs NVIDIA Tesla T4, puis supprimez-les.
Remplacez les éléments suivants :
PROJECT_ID: ID du projet Google Cloud .REGION: nom de la région où se trouvent vos ressources.ZONE: nom de la zone où se trouvent vos VM.VM_NAME: nom de votre instance de VM.
Configurations de sécurité et de protection facultatives
Le MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou votre projet Google Cloud.
Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.
Utiliser Model Armor
Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de services cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité de l'IA de manière cohérente dans votre paysage d'IA diversifié.
Model Armor n'est disponible que dans certaines régions. Si Model Armor est activé pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor effectue un appel interrégional. Pour en savoir plus, consultez Emplacements de Model Armor.
Activer Model Armor
Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.
Console
Activer l'API Model Armor
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin), qui contient l'autorisationserviceusage.services.enable. Découvrez comment attribuer des rôles.Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.
gcloud
Avant de commencer, suivez ces étapes à l'aide de la Google Cloud CLI avec l'API Model Armor :
Dans la console Google Cloud , activez Cloud Shell.
En bas de la console Google Cloud , une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.
-
Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
Remplacez
LOCATIONpar la région dans laquelle vous souhaitez utiliser Model Armor.
Configurer la protection pour les serveurs MCP Google et Google Cloud distants
Pour protéger les appels et les réponses de vos outils MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.
Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.
Consultez l'exemple de commande suivant :
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
Remplacez
PROJECT_IDpar l'ID du projet Google Cloud .Notez les paramètres suivants :
INSPECT_AND_BLOCK: type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.ENABLED: paramètre qui active un filtre ou une application forcée.MEDIUM_AND_ABOVE: niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.
Désactiver l'analyse du trafic MCP avec Model Armor
Si vous souhaitez arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --remove-integrated-services=GOOGLE_MCP_SERVERRemplacez
PROJECT_IDpar l'ID du projet Google Cloud .Model Armor n'analysera pas le trafic MCP dans le projet.
Contrôler l'utilisation du MCP avec des stratégies de refus IAM
Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.
Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :
- Le principal
- Propriétés de l'outil, comme la lecture seule
- ID client OAuth de l'application
Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.
Étapes suivantes
- Consultez la documentation de référence sur le MCP Compute Engine.
- En savoir plus sur les serveurs MCP Google Cloud