O Protocolo de Contexto de Modelo (MCP) padroniza como modelos de linguagem grandes (LLMs) e aplicativos ou agentes de IA se conectam a fontes de dados externas. Os servidores do MCP permitem usar as ferramentas, os recursos e os comandos deles para realizar ações e receber dados atualizados do serviço de back-end.
Qual é a diferença entre servidores MCP locais e remotos?
- Servidores MCP locais
- Normalmente são executados na máquina local e usam os fluxos de entrada e saída padrão (stdio) para comunicação entre serviços no mesmo dispositivo.
- Servidores MCP remotos
- São executados na infraestrutura do serviço e oferecem um endpoint HTTP para aplicativos de IA para comunicação entre o cliente do MCP de IA e o servidor do MCP. Para mais informações sobre a arquitetura do MCP, consulte Arquitetura do MCP.
Antes de começar
- Faça login na sua Google Cloud conta do. Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- Ative a API Database Migration Service.
Funções exigidas
Para receber as permissões necessárias para usar o servidor do MCP remoto do Database Migration Service, peça ao administrador para conceder a você os seguintes papéis do IAM no seu Google Cloud projeto:
-
Fazer chamadas de ferramentas do MCP:
usuário da ferramenta do MCP (
roles/mcp.toolUser) -
Recursos do Database Migration Service:
administrador do Database Migration Service (
roles/datamigration.admin)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para usar o servidor do MCP remoto do Database Migration Service. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para usar o servidor do MCP remoto do Database Migration Service:
-
Fazer chamadas de ferramentas do MCP:
mcp.tools.call -
Recursos do Database Migration Service:
-
datamigration.migrationjobs.create -
datamigration.migrationjobs.delete -
datamigration.migrationjobs.get -
datamigration.migrationjobs.list -
datamigration.migrationjobs.resume -
datamigration.migrationjobs.start -
datamigration.migrationjobs.stop -
datamigration.operations.get
-
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Autenticação e autorização
O servidor do MCP remoto do Database Migration Service usa o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores do MCP.Recomendamos que você crie uma identidade separada para agentes que usam ferramentas do MCP para que o acesso aos recursos possa ser controlado e monitorado. O Database Migration Service não aceita chaves de API para autenticação em servidores do MCP. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.
Escopos do OAuth do MCP do Database Migration Service
O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.
O Database Migration Service tem os seguintes escopos do OAuth da ferramenta do MCP:
| URI do escopo para a CLI gcloud | Descrição |
|---|---|
https://www.googleapis.com/auth/cloud-platform |
Permite o acesso a todos os Google Cloud recursos, incluindo o Database Migration Service. |
https://www.googleapis.com/auth/cloud-datamigration |
Permite visualizar e gerenciar dados no Database Migration Service. |
Outros escopos podem ser necessários nos recursos acessados durante uma chamada de ferramenta. Para conferir uma lista de escopos necessários para o Database Migration Service, consulte API Database Migration Service.
Configurar um cliente do MCP para usar o servidor do MCP do Database Migration Service
Aplicativos e agentes de IA, como a CLI do Claude ou do Gemini, podem instanciar um cliente do MCP que se conecta a um único servidor do MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores do MCP. Para se conectar a um servidor do MCP remoto, o cliente do MCP precisa saber o URL do servidor do MCP remoto.
No aplicativo de IA, procure uma maneira de se conectar a um servidor do MCP remoto. Você vai receber uma solicitação para inserir detalhes sobre o servidor, como o nome e o URL.
Para o servidor do MCP do Database Migration Service, insira o seguinte, conforme necessário:
- Nome do servidor: servidor do MCP do Database Migration Service
- URL do servidor ou endpoint: datamigration.googleapis.com/mcp
- Transporte: HTTP
- Detalhes de autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID e a chave secreta do cliente OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.
- Escopo do OAuth: o escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor do MCP do Database Migration Service.
Para orientações específicas do host sobre como configurar e se conectar ao servidor do MCP, consulte o seguinte:
Para orientações mais gerais, consulte os seguintes recursos:
Ferramentas disponíveis
Para conferir detalhes das ferramentas do MCP disponíveis e as descrições delas para o servidor do MCP do Database Migration Service, consulte a referência do MCP do Database Migration Service.
Listar ferramentas
Use o
inspetor do MCP para listar ferramentas ou envie uma
tools/list solicitação HTTP diretamente para o Database Migration Service
servidor do MCP remoto. O método tools/list não exige autenticação.
POST /mcp HTTP/1.1
Host: datamigration.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list",
}
Exemplos de casos de uso
Confira a seguir exemplos de casos de uso para o servidor do MCP do Database Migration Service:
- Listar, receber, iniciar e excluir jobs de migração no seu projeto.
- Listar endereços IP estáticos que o Database Migration Service conecta ao banco de dados de origem durante migrações heterogêneas.
- Use a ferramenta
get_operationpara consultar o status de operações, como iniciar ou excluir um job de migração.
Exemplos de comandos:
- "Listar todos os jobs de migração em execução no projeto PROJECT_ID e no local LOCATION."
- "Listar todos os jobs de migração que encontraram erros no projeto PROJECT_ID e no local LOCATION."
- "Qual é o status do job de migração MIGRATION_JOB_ID em LOCATION?"
- "Interromper o job de migração MIGRATION_JOB_ID em LOCATION."
- "Retomar todos os jobs de migração interrompidos MIGRATION_JOB_ID em LOCATION."
Nos comandos, substitua o seguinte:
- PROJECT_ID pelo identificador do Google Cloud projeto.
- LOCATION pelo local do job de migração.
- MIGRATION_JOB_ID pelo identificador do job de migração do Database Migration Service.
Configurações opcionais de segurança
O MCP introduz novos riscos e considerações de segurança devido à grande variedade de ações que podem ser realizadas com as ferramentas do MCP. Para minimizar e gerenciar esses riscos, Google Cloud o oferece configurações padrão e políticas personalizáveis para controlar o uso de ferramentas do MCP na sua Google Cloud organização ou projeto.
Para mais informações sobre segurança e governança do MCP, consulte Segurança da IA.
Usar o Model Armor
O Model Armor é um Google Cloud serviço projetado para aumentar a segurança e a segurança dos aplicativos de IA. Ele funciona examinando proativamente comandos e respostas de LLMs, protegendo contra vários riscos e oferecendo suporte a práticas de IA responsável. Se você estiver implantando a IA no ambiente de nuvem ou em provedores de nuvem externos, o Model Armor poderá ajudar a evitar entradas maliciosas, verificar a segurança do conteúdo, proteger dados sensíveis, manter a conformidade e aplicar as políticas de segurança da IA de maneira consistente em todo o cenário de IA.
Quando o Model Armor está ativado com a geração de registros ativada, ele registra todo o payload. Isso pode expor informações sensíveis nos registros.
Ativar o Model Armor
É necessário ativar as APIs do Model Armor antes de usar o Model Armor.
Console
Ativar a API Model Armor.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (
roles/serviceusage.serviceUsageAdmin), que contém a permissãoserviceusage.services.enable. Saiba como conceder papéis.Selecione o projeto em que você quer ativar o Model Armor.
gcloud
Antes de começar, siga estas etapas usando a Google Cloud CLI com a API Model Armor:
No Google Cloud console, ative o Cloud Shell.
Na parte de baixo do Google Cloud console, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a Google Cloud CLI já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.
-
Execute o seguinte comando para definir o endpoint de API para o serviço Model Armor.
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
Substitua
LOCATIONpela região em que você quer usar o Model Armor.
Configurar a proteção para servidores do MCP do Google e Google Cloud remotos
Para ajudar a proteger as chamadas e respostas da ferramenta do MCP, use as configurações mínimas do Model Armor. Uma configuração mínima define os filtros de segurança mínimos que se aplicam ao projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas de ferramentas do MCP no projeto.
Configure uma configuração mínima do Model Armor com a higienização do MCP ativada. Para mais informações, consulte Configurar as configurações mínimas do Model Armor.
Consulte o seguinte comando de exemplo:
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
Substitua PROJECT_ID pelo ID do Google Cloud projeto.
Observe as seguintes configurações:
INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor do MCP do Google e bloqueia comandos e respostas que correspondem aos filtros.ENABLED: a configuração que ativa um filtro ou aplicação.MEDIUM_AND_ABOVE: o nível de confiança para as configurações de filtro de IA responsável - perigoso. É possível modificar essa configuração, embora valores mais baixos possam resultar em mais falsos positivos. Para mais informações, consulte Níveis de confiança do Model Armor.
Desativar a verificação do tráfego do MCP com o Model Armor
Para impedir que o Model Armor verifique automaticamente o tráfego de e para servidores do MCP do Google com base nas configurações mínimas do projeto, execute o seguinte comando:
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
Substitua PROJECT_ID pelo Google Cloud ID do projeto. O Model Armor não aplica automaticamente as regras definidas nas configurações mínimas desse projeto a nenhum tráfego do servidor do MCP do Google.
As configurações mínimas do Model Armor e a configuração geral podem afetar mais do que apenas o MCP. Como o Model Armor se integra a serviços como a Vertex AI, qualquer mudança feita nas configurações mínimas pode afetar a verificação de tráfego e os comportamentos de segurança em todos os serviços integrados, não apenas no MCP.
Controlar o uso do MCP com políticas de negação do IAM
As políticas de negação do Identity and Access Management (IAM) ajudam a proteger Google Cloud servidores do MCP remotos. Configure essas políticas para bloquear o acesso indesejado à ferramenta do MCP.
Por exemplo, é possível negar ou permitir o acesso com base em:
- O principal
- Propriedades da ferramenta, como somente leitura
- O ID do cliente OAuth do aplicativo
Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.
A seguir
- Leia a documentação de referência do MCP do Database Migration Service
- Saiba mais sobre os servidores do MCP do Google Cloud