Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Remote-MCP-Server des Database Migration Service verwenden

In diesem Dokument wird beschrieben, wie Sie den Remote-MCP-Server (Model Context Protocol) des Database Migration Service verwenden, um eine Verbindung zu KI-Anwendungen wie Gemini CLI, ChatGPT, Claude und benutzerdefinierten Anwendungen herzustellen, die Sie entwickeln. Mit dem Remote-MCP-Server von Database Migration Service können Sie Migrationsjobs über Ihre KI-Anwendung verwalten. Sie können Migrationsjobs mit dem Remote-MCP-Server von Database Migration Service starten, beenden, fortsetzen oder löschen. Der Remote-MCP-Server von Database Migration Service wird aktiviert, wenn Sie die Database Migration Service API aktivieren.

Das Model Context Protocol (MCP) standardisiert die Verbindung von Large Language Models (LLMs) und KI-Anwendungen oder ‑Agents mit externen Datenquellen. Mit MCP-Servern können Sie die zugehörigen Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten vom Backend-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server: werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standard-Ein- und Ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.
Remote-MCP-Server: Wird auf der Infrastruktur des Dienstes ausgeführt und bietet einen HTTP-Endpunkt für KI-Anwendungen für die Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Hinweis

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Aktivieren Sie die Database Migration Service API.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Google Cloud Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Remote-MCP-Servers von Database Migration Service benötigen:

MCP-Tool-Aufrufe ausführen: MCP Tool User (roles/mcp.toolUser)
Database Migration Service-Ressourcen: Database Migration Service Admin (roles/datamigration.admin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden des Remote-MCP-Servers von Database Migration Service erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Remote-MCP-Server von Database Migration Service zu verwenden:

MCP-Tool-Aufrufe ausführen: mcp.tools.call
Ressourcen für den Database Migration Service:
- datamigration.migrationjobs.create
- datamigration.migrationjobs.delete
- datamigration.migrationjobs.get
- datamigration.migrationjobs.list
- datamigration.migrationjobs.resume
- datamigration.migrationjobs.start
- datamigration.migrationjobs.stop
- datamigration.operations.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Authentifizierung und Autorisierung

Der Remote-MCP-Server von Database Migration Service verwendet das OAuth 2.0-Protokoll mit Identity and Access Management (IAM) für die Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Der Database Migration Service akzeptiert keine API-Schlüssel für die Authentifizierung bei MCP-Servern. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

OAuth-Bereiche für den Database Migration Service – MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifiziertes Hauptkonto autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Database Migration Service hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für die gcloud CLI	Beschreibung
`https://www.googleapis.com/auth/cloud-platform`	Ermöglicht den Zugriff auf alle Google Cloud Ressourcen, einschließlich Database Migration Service.
`https://www.googleapis.com/auth/cloud-datamigration`	Ermöglicht das Ansehen und Verwalten von Daten in Database Migration Service.

Möglicherweise sind zusätzliche Bereiche für die Ressourcen erforderlich, auf die während eines Tool-Aufrufs zugegriffen wird. Eine Liste der für Database Migration Service erforderlichen Bereiche finden Sie unter Database Migration Service API.

MCP-Client für die Verwendung des Database Migration Service-MCP-Servers konfigurieren

KI-Anwendungen und ‑Agents wie Claude oder die Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Damit eine Verbindung zu einem Remote-MCP-Server hergestellt werden kann, muss der MCP-Client die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den MCP-Server des Database Migration Service Folgendes ein:

Servername: Database Migration Service-MCP-Server
Server-URL oder Endpunkt: datamigration.googleapis.com/mcp
Transport: HTTP
Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agent-Identität und Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.
OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie beim Herstellen einer Verbindung zum Database Migration Service MCP-Server verwenden möchten.

Hostspezifische Anleitungen zum Einrichten und Verbinden mit dem MCP-Server finden Sie hier:

Allgemeine Informationen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den Database Migration Service-MCP-Server finden Sie in der MCP-Referenz für Database Migration Service.

Tools für Listen

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list-HTTP-Anfrage direkt an den Remote-MCP-Server des Database Migration Service. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: datamigration.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispielanwendungsfälle

Hier sind einige Beispiele für Anwendungsfälle für den MCP-Server des Database Migration Service:

Migrationsjobs in Ihrem Projekt auflisten, abrufen, starten und löschen.
Hier finden Sie eine Liste der statischen IP-Adressen, über die Database Migration Service bei heterogenen Migrationen eine Verbindung zu Ihrer Quelldatenbank herstellt.
Mit dem Tool get_operation können Sie den Status von Vorgängen wie dem Starten oder Löschen eines Migrationsjobs abrufen.

Beispiele für Prompts:

„List all running migration jobs in project PROJECT_ID and location LOCATION.“ (Alle laufenden Migrationsjobs im Projekt PROJECT_ID und am Standort LOCATION auflisten)
„List all migration jobs that encountered errors in project PROJECT_ID and location LOCATION.“ (Liste alle Migrationsjobs auf, bei denen in Projekt PROJECT_ID und am Standort LOCATION Fehler aufgetreten sind.)
„Wie ist der Status des Migrationsjobs MIGRATION_JOB_ID in LOCATION?“
„Stoppe den Migrationsjob MIGRATION_JOB_ID in LOCATION.“
„Resume all stopped migration jobs MIGRATION_JOB_ID in LOCATION.“ (Alle gestoppten Migrationsjobs MIGRATION_JOB_ID in LOCATION fortsetzen.)

Ersetzen Sie in den Prompts Folgendes:

PROJECT_ID durch die ID Ihres Projekts in Google Cloud .
LOCATION durch den Speicherort des Migrationsjobs.
MIGRATION_JOB_ID mit der Kennung Ihres Database Migration Service-Migrationsjobs.

Optionale Sicherheitskonfigurationen

Das MCP birgt neue Sicherheitsrisiken und ‑aspekte, da mit den MCP-Tools eine Vielzahl von Aktionen ausgeführt werden kann. Um diese Risiken zu minimieren und zu verwalten, bietetGoogle Cloud Standardeinstellungen und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud-Organisation oder Ihrem Google Cloud-Projekt steuern können.

Weitere Informationen zur Sicherheit und Governance von MCP finden Sie unter KI-Sicherheit.

Model Armor verwenden

Model Armor ist einGoogle Cloud -Dienst, der die Sicherheit Ihrer KI-Anwendungen verbessern soll. Das System überwacht und kontrolliert sowohl die Prompts als auch die Antworten des LLM, um Sie vor verschiedenen Risiken zu schützen und für verantwortungsbewusste Anwendung von KI zu sorgen. Unabhängig davon, ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen, kann Model Armor Ihnen helfen, schädliche Eingaben zu verhindern, die Sicherheit von Inhalten zu überprüfen, sensible Daten zu schützen, die Compliance aufrechtzuerhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchzusetzen.

Wenn Model Armor mit aktiviertem Logging aktiviert ist, protokolliert Model Armor die gesamte Nutzlast. Dadurch können vertrauliche Informationen in Ihren Logs offengelegt werden.

Model Armor aktivieren

Sie müssen Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Console

Aktivieren Sie die Model Armor API.
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen
API aktivieren
Wählen Sie das Projekt aus, für das Sie Model Armor aktivieren möchten.

gcloud

Führen Sie die folgenden Schritte mit der Google Cloud CLI und der Model Armor API aus, bevor Sie beginnen:

Aktivieren Sie Cloud Shell in der Google Cloud Console.

Cloud Shell aktivieren

Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Führen Sie den folgenden Befehl aus, um den API-Endpunkt für den Model Armor-Dienst festzulegen.
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
Ersetzen Sie LOCATION durch die Region, in der Sie Model Armor verwenden möchten.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Mit den Mindesteinstellungen für Model Armor können Sie Ihre MCP-Toolaufrufe und ‑Antworten schützen. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Tool-Aufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Model Armor-Mindesteinstellung mit aktivierter MCP-Bereinigung ein. Weitere Informationen finden Sie unter Model Armor-Untergrenzeneinstellungen konfigurieren.

Hier ein Beispielbefehl:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie dabei PROJECT_ID durch die ID Ihres Projekts in Google Cloud .

Beachten Sie die folgenden Einstellungen:

INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
ENABLED: Die Einstellung, die einen Filter oder die Erzwingung ermöglicht.
MEDIUM_AND_ABOVE: Das Konfidenzniveau für die Filter für verantwortungsbewusste Anwendung von KI – gefährlich. Sie können diese Einstellung ändern. Niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Vertrauenswürdigkeitsstufen für Model Armor.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie verhindern möchten, dass Model Armor den Traffic zu und von Google MCP-Servern basierend auf den Mindesteinstellungen des Projekts automatisch scannt, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID. Model Armor wendet die in den Mindesteinstellungen dieses Projekts definierten Regeln nicht automatisch auf den gesamten Google MCP-Server-Traffic an.

Die Mindesteinstellungen für Model Armor und die allgemeine Konfiguration können sich auf mehr als nur MCP auswirken. Da Model Armor in Dienste wie Vertex AI eingebunden ist, können sich Änderungen an den Mindesteinstellungen auf die Traffic-Analyse und Sicherheitsfunktionen aller eingebundenen Dienste auswirken, nicht nur auf MCP.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Ablehnungsrichtlinien (Identity and Access Management) helfen Ihnen, Google Cloud Remote-MCP-Server zu schützen. Konfigurieren Sie diese Richtlinien, um unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

Der Prinzipal
Tooleigenschaften wie „schreibgeschützt“
Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit Identity and Access Management steuern.