Remote-MCP-Server des Database Migration Service verwenden

In diesem Dokument erfahren Sie, wie Sie den Remote-MCP-Server (Model Context Protocol) des Database Migration Service verwenden, um eine Verbindung zu KI-Anwendungen wie Gemini CLI, ChatGPT, Claude und benutzerdefinierten Anwendungen herzustellen, die Sie entwickeln. Mit dem Remote-MCP-Server des Database Migration Service können Sie Migrationsjobs über Ihre KI-Anwendung verwalten. Sie können Migrationsjobs mit dem Remote-MCP-Server des Database Migration Service starten, anhalten, fortsetzen oder löschen. .

Der Remote-MCP-Server des Database Migration Service wird aktiviert, wenn Sie die Database Migration Service API aktivieren.

Model Context Protocol (MCP) standardisiert, wie Large Language Models (LLMs) und KI-Anwendungen oder -Agents eine Verbindung zu externen Datenquellen herstellen. Mit MCP-Servern können Sie ihre Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten von ihrem Back-End-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server
werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standardeingabe- und ‑ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.
Remote-MCP-Server
werden in der Infrastruktur des Dienstes ausgeführt und bieten einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto haben, erstellen Sie eines, um zu sehen, wie sich unsere Produkte in realen Szenarien schlagen. Google CloudNeukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Aktivieren Sie die Database Migration Service API.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Google Cloud Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden des Remote-MCP-Servers des Database Migration Service benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden des Remote-MCP-Servers des Database Migration Service erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Remote-MCP-Server des Database Migration Service zu verwenden:

  • MCP-Toolaufrufe ausführen: mcp.tools.call
  • Ressourcen des Database Migration Service:
    • datamigration.migrationjobs.create
    • datamigration.migrationjobs.delete
    • datamigration.migrationjobs.get
    • datamigration.migrationjobs.list
    • datamigration.migrationjobs.resume
    • datamigration.migrationjobs.start
    • datamigration.migrationjobs.stop
    • datamigration.operations.get

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Authentifizierung und Autorisierung

Der Remote-MCP-Server des Database Migration Service verwendet das OAuth 2.0 -Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Wir empfehlen, eine separate Identität für Agents zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Database Migration Service akzeptiert keine API-Schlüssel für die Authentifizierung bei MCP-Servern. Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.

OAuth-Bereiche für den MCP des Database Migration Service

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifizierter Prinzipal autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Database Migration Service hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für die gcloud CLI Beschreibung
https://www.googleapis.com/auth/cloud-platform Ermöglicht den Zugriff auf alle Google Cloud Ressourcen, einschließlich Database Migration Service.
https://www.googleapis.com/auth/cloud-datamigration Ermöglicht das Ansehen und Verwalten von Daten im Database Migration Service.

Für die Ressourcen, auf die während eines Toolaufrufs zugegriffen wird, sind möglicherweise zusätzliche Bereiche erforderlich. Eine Liste der für den Database Migration Service erforderlichen Bereiche finden Sie unter Database Migration Service API.

MCP-Client für die Verwendung des MCP-Servers des Database Migration Service konfigurieren

KI-Anwendungen und ‑Agents wie Claude oder Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den MCP-Server des Database Migration Service nach Bedarf Folgendes ein:

  • Servername: MCP-Server des Database Migration Service
  • Server-URL oder Endpunkt: datamigration.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Anmeldedaten, Ihre OAuth-Client-ID und Ihren Clientschlüssel oder eine Agent-Identität und ‑Anmeldedaten eingeben. Google Cloud Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.
  • OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie verwenden möchten, wenn Sie eine Verbindung zum MCP-Server des Database Migration Service herstellen.

Eine hostspezifische Anleitung zum Einrichten und Herstellen einer Verbindung zu einem MCP-Server finden Sie hier:

Allgemeinere Anleitungen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den MCP-Server des Database Migration Service finden Sie in der MCP-Referenz des Database Migration Service.

Tools auflisten

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server des Database Migration Service. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: datamigration.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispielanwendungsfälle

Im Folgenden finden Sie Beispielanwendungsfälle für den MCP-Server des Database Migration Service:

  • Migrationsjobs in Ihrem Projekt auflisten, abrufen, starten und löschen.
  • Statische IP-Adressen auflisten, von denen aus der Database Migration Service während heterogener Migrationen eine Verbindung zu Ihrer Quell datenbank herstellt.
  • Mit dem Tool get_operation den Status von Vorgängen wie dem Starten oder Löschen eines Migrationsjobs abfragen.

Beispiele für Prompts:

  • „List all running migration jobs in project PROJECT_ID and location LOCATION.“ (Alle laufenden Migrationsjobs im Projekt PROJECT_ID und am Standort LOCATION auflisten)
  • „List all migration jobs that encountered errors in project PROJECT_ID and location LOCATION.“ (Alle Migrationsjobs mit Fehlern im Projekt PROJECT_ID und am Standort LOCATION auflisten)
  • „What's the status of the migration job MIGRATION_JOB_ID in LOCATION?“ (Wie ist der Status des Migrationsjobs MIGRATION_JOB_ID am Standort LOCATION?)
  • „Stop the migration job MIGRATION_JOB_ID in LOCATION.“ (Migrationsjob MIGRATION_JOB_ID am Standort LOCATION anhalten)
  • „Resume all stopped migration jobs MIGRATION_JOB_ID in LOCATION.“ (Alle angehaltenen Migrationsjobs MIGRATION_JOB_ID am Standort LOCATION fortsetzen)

Ersetzen Sie in den Prompts Folgendes:

  • PROJECT_ID durch Ihre Google Cloud Projekt-ID.
  • LOCATION durch den Standort des Migrationsjobs.
  • MIGRATION_JOB_ID durch die ID Ihres Migrationsjobs des Database Migration Service.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da Sie mit den MCP-Tools eine Vielzahl von Aktionen ausführen können. Um diese Risiken zu minimieren und zu verwalten, Google Cloud bietet Google Cloud Standardeinstellungen und anpassbare Richtlinien, um die Verwendung von MCP-Tools in Ihrer Google Cloud Organisation oder Ihrem Projekt zu steuern.

Weitere Informationen zu MCP-Sicherheit und ‑Governance finden Sie unter KI-Sicherheit.

Model Armor verwenden

Model Armor ist ein Google Cloud Dienst, der die Sicherheit und Sicherheit Ihrer KI-Anwendungen verbessern soll. Dazu werden LLM-Prompts und ‑Antworten proaktiv geprüft, um vor verschiedenen Risiken zu schützen und verantwortungsbewusste KI-Praktiken zu unterstützen. Ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen: Mit Model Armor können Sie schädliche Eingaben verhindern, die Sicherheit von Inhalten überprüfen, sensible Daten schützen, Compliance einhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchsetzen.

Model Armor ist nur an bestimmten regionalen Standorten verfügbar. Wenn Model Armor für ein Projekt aktiviert ist und ein Aufruf an dieses Projekt aus einer nicht unterstützten Region erfolgt, führt Model Armor einen regionenübergreifenden Aufruf aus. Weitere Informationen finden Sie unter Model Armor-Standorte.

Model Armor aktivieren

Sie müssen die Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Console

  1. Aktivieren Sie die Model Armor API.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von Rollen.

    API aktivieren

  2. Wählen Sie das Projekt aus, in dem Sie Model Armor aktivieren möchten.

gcloud

Führen Sie vor Beginn die folgenden Schritte mit der Google Cloud CLI und der Model Armor API aus:

  1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

    Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Befehlszeilenaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  2. Führen Sie den folgenden Befehl aus, um den API-Endpunkt für den Model Armor-Dienst festzulegen.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ersetzen Sie LOCATION durch die Region, in der Sie Model Armor verwenden möchten.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Um Ihre MCP-Toolaufrufe und ‑Antworten zu schützen, können Sie die Mindesteinstellungen für Model Armor verwenden. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Toolaufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Mindesteinstellung für Model Armor ein, bei der die MCP-Bereinigung aktiviert ist. Weitere Informationen finden Sie unter Mindesteinstellungen für Model Armor konfigurieren.

Hier ist ein Beispielbefehl:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie PROJECT_ID durch Ihre Google Cloud Projekt-ID.

Beachten Sie die folgenden Einstellungen:

  • INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google-MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
  • ENABLED: Die Einstellung, mit der ein Filter oder Erzwingung aktiviert wird.
  • MEDIUM_AND_ABOVE: Die Vertrauensstufe für die Filtereinstellungen „Responsible AI – Dangerous“. Sie können diese Einstellung ändern, niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Vertrauensstufen von Model Armor.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie das Scannen von Google-MCP-Traffic mit Model Armor beenden möchten, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt ID.

Model Armor scannt keinen MCP-Traffic im Projekt.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Ablehnungsrichtlinien (Identity and Access Management) helfen Ihnen, Remote-MCP-Server zu schützen. Google Cloud Konfigurieren Sie diese Richtlinien, um den unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

  • Der Prinzipal
  • Toolattribute wie „Schreibgeschützt“
  • Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit IAM steuern.

Nächste Schritte