Menggunakan server MCP jarak jauh Compute Engine

Dokumen ini menunjukkan cara menggunakan server Model Context Protocol (MCP) jarak jauh Compute Engine untuk terhubung dengan aplikasi AI, termasuk Gemini CLI, ChatGPT, Claude, dan aplikasi kustom yang Anda kembangkan. Server MCP jarak jauh Compute Engine menyediakan serangkaian kemampuan komprehensif yang memungkinkan agen LLM melakukan berbagai tugas pengelolaan infrastruktur, termasuk yang berikut:

  • Mengelola instance virtual machine (VM).
  • Mengelola pengelola grup instance dan template instance.
  • Mengelola disk dan snapshot.
  • Mengambil informasi tentang reservasi dan komitmen. .

    Server MCP jarak jauh Compute Engine diaktifkan saat Anda mengaktifkan Compute Engine API.

    Model Context Protocol (MCP) menstandardisasi cara model bahasa besar (LLM) dan aplikasi atau agen AI terhubung ke sumber data eksternal. Server MCP memungkinkan Anda menggunakan alat, resource, dan perintahnya untuk melakukan tindakan dan mendapatkan data terbaru dari layanan backend-nya.

    Apa perbedaan antara server MCP lokal dan jarak jauh?

    Server MCP lokal
    Biasanya berjalan di komputer lokal Anda dan menggunakan input dan output stream standar (stdio) untuk komunikasi antar-layanan di perangkat yang sama.
    Server MCP jarak jauh
    Berjalan di infrastruktur layanan dan menawarkan endpoint HTTP ke aplikasi AI untuk komunikasi antara klien MCP AI dan server MCP. Untuk mengetahui informasi selengkapnya tentang arsitektur MCP, lihat Arsitektur MCP.

    Server MCP jarak jauh dan Google Cloud Google

    Server MCP jarak jauh dan Google memiliki fitur dan manfaat berikut: Google Cloud

    • Penemuan yang disederhanakan dan terpusat.
    • Mengelola endpoint HTTP global atau regional.
    • Otorisasi terperinci.
    • Keamanan perintah dan respons opsional dengan perlindungan Model Armor.
    • Logging audit terpusat.

    Untuk mengetahui informasi tentang server MCP lainnya dan informasi tentang kontrol keamanan dan tata kelola yang tersedia untuk server MCP Google Cloud, lihat Ringkasan server MCP Google Cloud.

    Sebelum memulai

    1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    3. Verify that billing is enabled for your Google Cloud project.

    4. Make sure that you have the following role or roles on the project: Compute Instance Admin (v1), Compute Security Admin, Service Account User, Service Usage Admin

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. Click Grant access.

      4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

      5. Click Select a role, then search for the role.
      6. To grant additional roles, click Add another role and add each additional role.
      7. Click Save.

    5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

      Go to project selector

    6. Verify that billing is enabled for your Google Cloud project.

    7. Make sure that you have the following role or roles on the project: Compute Instance Admin (v1), Compute Security Admin, Service Account User, Service Usage Admin

      Check for the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.

      3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

      4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

      Grant the roles

      1. In the Google Cloud console, go to the IAM page.

        Go to IAM
      2. Select the project.
      3. Click Grant access.

      4. In the New principals field, enter your user identifier. This is typically the email address for a Google Account.

      5. Click Select a role, then search for the role.
      6. To grant additional roles, click Add another role and add each additional role.
      7. Click Save.
    8. Aktifkan Compute Engine API.

      Mengaktifkan Compute Engine API

    Peran yang diperlukan

    Agar mendapatkan izin yang diperlukan untuk menggunakan server MCP jarak jauh Compute Engine, minta administrator untuk memberi Anda peran IAM berikut di Google Cloud project Anda:

    Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Peran bawaan ini berisi izin yang diperlukan untuk menggunakan server MCP jarak jauh Compute Engine. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

    Izin yang diperlukan

    Izin berikut diperlukan untuk menggunakan server MCP jarak jauh Compute Engine:

    • Lakukan panggilan alat MCP: mcp.tools.call

    Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

    Anda juga memerlukan peran dan izin yang diperlukan untuk melakukan operasi Compute Engine. Untuk mengetahui informasi selengkapnya, lihat Peran dan izin Compute Engine.

    Autentikasi dan otorisasi

    Server MCP Compute Engine menggunakan protokol OAuth 2.0 dengan Identity and Access Management (IAM) untuk autentikasi dan otorisasi. Semua Google Cloud identitas didukung untuk autentikasi ke server MCP.

    Sebaiknya Anda membuat identitas terpisah untuk agen yang menggunakan alat MCP agar akses ke resource dapat dikontrol dan dipantau. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

    Cakupan OAuth MCP Compute Engine

    OAuth 2.0 menggunakan cakupan dan kredensial untuk menentukan apakah akun utama terautentikasi diizinkan untuk melakukan tindakan tertentu pada resource. Untuk mengetahui informasi selengkapnya tentang cakupan OAuth 2.0 di Google, baca Menggunakan OAuth 2.0 untuk mengakses Google API.

    Compute Engine memiliki cakupan OAuth alat MCP berikut:

    URI cakupan untuk gcloud CLI Deskripsi
    https://www.googleapis.com/auth/compute.read-only Hanya mengizinkan akses untuk membaca data.
    https://www.googleapis.com/auth/compute.read-write Mengizinkan akses untuk membaca dan mengubah data.

    Cakupan tambahan mungkin diperlukan pada resource yang diakses selama panggilan alat. Untuk melihat daftar cakupan yang diperlukan untuk Compute Engine, lihat Compute Engine API.

    Mengonfigurasi klien MCP untuk menggunakan server MCP Compute Engine

    Aplikasi dan agen AI, seperti Claude atau Gemini CLI, dapat membuat instance klien MCP yang terhubung ke satu server MCP. Aplikasi AI dapat memiliki beberapa klien yang terhubung ke server MCP yang berbeda. Untuk terhubung ke server MCP jarak jauh, klien MCP harus mengetahui URL server MCP jarak jauh.

    Di aplikasi AI Anda, cari cara untuk terhubung ke server MCP jarak jauh. Anda akan diminta untuk memasukkan detail tentang server, seperti nama dan URL-nya.

    Untuk server MCP Compute Engine, masukkan hal berikut sesuai kebutuhan:

    • Nama server: Server MCP Compute Engine
    • URL Server atau Endpoint: https://compute.googleapis.com/mcp
    • Transportasi: HTTP
    • Detail autentikasi: Bergantung pada cara autentikasi yang Anda inginkan, Anda dapat memasukkan Google Cloud kredensial, ID Klien OAuth dan rahasia, atau identitas dan kredensial agen. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

    Untuk panduan khusus host tentang cara menyiapkan dan menghubungkan ke server MCP, lihat artikel berikut:

    Untuk panduan umum lainnya, lihat referensi berikut:

    Alat yang tersedia

    Untuk melihat detail alat MCP yang tersedia dan deskripsinya untuk server MCP Compute Engine, lihat referensi MCP Compute Engine.

    Alat daftar

    Gunakan pemeriksa MCP untuk mencantumkan alat, atau kirim permintaan HTTP tools/list langsung ke server MCP jarak jauh Compute Engine. Metode tools/list tidak memerlukan autentikasi.

    POST /mcp HTTP/1.1
Host: compute.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

    Contoh kasus penggunaan

    Contoh kasus penggunaan berikut menjelaskan cara Anda dapat menggunakan server MCP Compute Engine untuk mengelola resource Compute Engine:

    • Periksa dan kelola resource. Misalnya, untuk memahami alokasi dan konfigurasi resource dalam project Anda, Anda dapat mencantumkan semua instance komputasi. Anda juga dapat menemukan semua instance komputasi yang sedang berjalan di zona yang memiliki akselerator tertentu yang terpasang, serta menampilkan lokasi dan namanya untuk pengelolaan resource.
    • Bersihkan resource yang tidak digunakan untuk mengurangi biaya operasional. Misalnya, identifikasi dan bersihkan snapshot disk di zona yang tidak lagi terkait dengan disk sumber, atau identifikasi dan hapus instance VM yang dihentikan yang memiliki resource GPU mahal yang terpasang.
    • Mengoptimalkan performa instance. Misalnya, ubah ukuran instance VM yang kurang disediakan ke jenis mesin yang lebih besar dalam keluarga yang sama, dan konfirmasi keberhasilan update.
    • Menyediakan VM khusus untuk workload AI dengan fleksibilitas zona. Misalnya, buat instance VM dengan akselerator GPU tertentu yang terpasang, di zona mana pun dalam region tertentu tempat akselerator tersebut tersedia.
    • Memecahkan masalah dan memvalidasi konfigurasi instance. Misalnya, ambil detail konfigurasi untuk instance VM tertentu tempat tugas dibekukan, mulai ulang, dan konfirmasi bahwa akselerator dan disk yang mendasarinya terpasang.

    Contoh perintah

    Berikut adalah contoh perintah yang dapat Anda gunakan untuk melakukan tugas menggunakan server MCP Compute Engine:

    • Mencantumkan semua VM di PROJECT_ID, termasuk nama dan zona VM.
    • Tampilkan detail instance untuk VM_NAME.
    • Di REGION, temukan semua snapshot disk yang disk sumbernya tidak ada lagi.
    • Ubah jenis mesin VM_NAME ke jenis mesin terbesar berikutnya dalam keluarga mesin yang sama, kirim notifikasi saat jenis mesin tersebut kembali online, dan konfirmasi jenis mesin baru.
    • Temukan semua VM yang berjalan di REGION dengan akselerator NVIDIA, lalu tampilkan zona dan nama untuk VM ini.
    • Buat VM di ZONE dengan akselerator NVIDIA T4 yang terpasang. Beri nama VM my-nvidiat4-vm.
    • Temukan semua VM yang dihentikan di REGION dengan akselerator NVIDIA Tesla T4, lalu hapus VM tersebut.

    Ganti kode berikut:

    • PROJECT_ID: Google Cloud Project ID
    • REGION: nama region tempat resource Anda berada.
    • ZONE: nama zona tempat VM Anda berada.
    • VM_NAME: nama instance VM Anda.

    Konfigurasi keamanan dan keselamatan opsional

    MCP memperkenalkan risiko dan pertimbangan keamanan baru karena berbagai tindakan yang dapat Anda lakukan dengan alat MCP. Untuk meminimalkan dan mengelola risiko ini,Google Cloud menawarkan setelan default dan kebijakan yang dapat disesuaikan untuk mengontrol penggunaan alat MCP di organisasi atau project Google CloudAnda.

    Untuk mengetahui informasi selengkapnya tentang keamanan dan tata kelola MCP, lihat Keamanan dan keselamatan AI.

    Menggunakan Model Armor

    Model Armor adalah layanan Google Cloud yang dirancang untuk meningkatkan keamanan dan keselamatan aplikasi AI Anda. Model Armor bekerja dengan menyaring perintah dan respons LLM secara proaktif, melindungi dari berbagai risiko, dan mendukung praktik AI yang bertanggung jawab. Baik Anda men-deploy AI di lingkungan cloud Anda, atau di penyedia cloud eksternal, Model Armor dapat membantu Anda mencegah input berbahaya, memverifikasi keamanan konten, melindungi data sensitif, menjaga kepatuhan, dan menerapkan kebijakan keamanan dan keselamatan AI Anda secara konsisten di seluruh lanskap AI Anda yang beragam.

    Model Armor hanya tersedia di lokasi regional tertentu. Jika Model Armor diaktifkan untuk project, dan panggilan ke project tersebut berasal dari region yang tidak didukung, Model Armor akan melakukan panggilan lintas region. Untuk mengetahui informasi selengkapnya, lihat Lokasi Model Armor.

    Mengaktifkan Model Armor

    Anda harus mengaktifkan Model Armor API sebelum dapat menggunakan Model Armor.

    Konsol

    1. Aktifkan Model Armor API.

      Peran yang diperlukan untuk mengaktifkan API

      Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

      Mengaktifkan API

    2. Pilih project tempat Anda ingin mengaktifkan Model Armor.

    gcloud

    Sebelum memulai, ikuti langkah-langkah berikut menggunakan Google Cloud CLI dengan Model Armor API:

    1. Di konsol Google Cloud , aktifkan Cloud Shell.

      Aktifkan Cloud Shell

      Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.

    2. Jalankan perintah berikut untuk menetapkan endpoint API bagi layanan Model Armor.

      gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

      Ganti LOCATION dengan region tempat Anda ingin menggunakan Model Armor.

    Mengonfigurasi perlindungan untuk server MCP jarak jauh dan Google Cloud Google

    Untuk membantu melindungi panggilan dan respons alat MCP, Anda dapat menggunakan setelan batas bawah Model Armor. Setelan minimum menentukan filter keamanan minimum yang berlaku di seluruh project. Konfigurasi ini menerapkan serangkaian filter yang konsisten ke semua panggilan dan respons alat MCP dalam project.

    Siapkan setelan minimum Model Armor dengan pengamanan MCP diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan batas bawah Model Armor.

    Lihat contoh perintah berikut:

    gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

    Ganti PROJECT_ID dengan project ID Google Cloud Anda.

    Perhatikan setelan berikut:

    • INSPECT_AND_BLOCK: Jenis penegakan yang memeriksa konten untuk server MCP Google dan memblokir perintah dan respons yang cocok dengan filter.
    • ENABLED: Setelan yang mengaktifkan filter atau penerapan.
    • MEDIUM_AND_ABOVE: Tingkat keyakinan untuk setelan filter Responsible AI - Berbahaya. Anda dapat mengubah setelan ini, meskipun nilai yang lebih rendah dapat menghasilkan lebih banyak positif palsu. Untuk mengetahui informasi selengkapnya, lihat Tingkat keyakinan Model Armor.

    Menonaktifkan pemindaian traffic MCP dengan Model Armor

    Jika Anda ingin berhenti memindai traffic MCP Google dengan Model Armor, jalankan perintah berikut:

    gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

    Ganti PROJECT_ID dengan ID project Google Cloud .

    Model Armor tidak akan memindai traffic MCP dalam project.

    Mengontrol penggunaan MCP dengan kebijakan penolakan IAM

    Kebijakan penolakan Identity and Access Management (IAM) membantu Anda mengamankan server MCP jarak jauh Google Cloud . Konfigurasi kebijakan ini untuk memblokir akses alat MCP yang tidak diinginkan.

    Misalnya, Anda dapat menolak atau mengizinkan akses berdasarkan:

    • Kepala sekolah
    • Properti alat seperti hanya baca
    • Client ID OAuth aplikasi

    Untuk mengetahui informasi selengkapnya, lihat Mengontrol penggunaan MCP dengan Identity and Access Management.

    Langkah berikutnya