Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש בשרת MCP מרוחק של שושלת הנתונים

במסמך הזה נסביר איך להשתמש בשרת Model Context Protocol‏ (MCP) מרוחק של מעקב מקורות נתונים כדי להתחבר לאפליקציות מבוססות-AI, כולל Gemini CLI, ‏ ChatGPT, ‏ Claude ואפליקציות בהתאמה אישית שאתם מפתחים. שרת ה-MCP המרוחק של שושלת הנתונים מאפשר לכם לקיים אינטראקציה עם שושלת הנתונים כדי להריץ שאילתות על גרפים של שושלת הנתונים, לגלות את מקור הנתונים במעלה הזרם ולנתח את ההשפעה במורד הזרם. שרת ה-MCP המרוחק של Data Lineage API מופעל כשמפעילים את Data Lineage API.

Model Context Protocol‏ (MCP) הוא תקן שקובע איך מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

מה ההבדל בין שרתי MCP מקומיים לבין שרתי MCP מרחוק?

שרתי MCP מקומיים: בדרך כלל פועלים במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר.
שרתי MCP מרוחקים: פועל בתשתית של השירות ומציע נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-MCP של ה-AI לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת MCP זמין במאמר ארכיטקטורת MCP.

‫Google ושרתי MCP מרוחקים Google Cloud

לשרתי MCP מרוחקים ולשרתי MCP של Google יש את התכונות והיתרונות הבאים: Google Cloud

גילוי פשוט ומרכזי
נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
הרשאות פרטניות
אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
רישום מרכזי ביומן הביקורת

מידע על שרתים אחרים של MCP ועל אמצעי בקרה בנושאי אבטחה וממשל שזמינים לשרתים של Google Cloud MCP מופיע במאמר סקירה כללית על שרתים של Google Cloud MCP.

לפני שמתחילים

נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Data Lineage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Data Lineage API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש בשרת ה-MCP של מעקב מקורות נתונים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו אתם רוצים להשתמש בשרת ה-MCP של מעקב מקורות נתונים:

ביצוע קריאות לכלי ה-MCP: משתמש בכלי ה-MCP (roles/mcp.toolUser)
צפייה במידע על שושלת הנתונים: צפייה בשושלת הנתונים (roles/datalineage.viewer)

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לשימוש בשרת MCP של מעקב מקורות נתונים. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להשתמש בשרת ה-MCP של מעקב אחר מקורות נתונים, נדרשות ההרשאות הבאות:

התקשרות לכלי ה-MCP: mcp.tools.call
חיפוש קישורים בשאילתת נתוני שושלת: datalineage.locations.searchLinks

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

אימות והרשאה

שרת ה-MCP המרוחק של Data Lineage API משתמש בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולמתן הרשאות. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

אנחנו ממליצים ליצור זהות נפרדת לסוכנים שמשתמשים בכלים של MCP, כדי שתוכלו לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

היקפי ההרשאות של OAuth ב-MCP לשושלת נתונים

ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת מסוים יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.

לכלי MCP Data lineage יש את היקפי ההרשאות הבאים של OAuth:

URI של היקף ל-CLI של gcloud	תיאור
`https://www.googleapis.com/auth/datalineage.readonly`	היקף ההרשאות הזה מאפשר גישה רק לקריאת נתונים.
`https://www.googleapis.com/auth/datalineage.read-write`	היקף ההרשאות הזה מאפשר לקרוא ולשנות נתונים.

יכול להיות שיידרשו היקפי הרשאות נוספים במשאבים שאליהם ניגשים במהלך הפעלת כלי. כדי לראות רשימה של היקפי ההרשאות שנדרשים לתיעוד מקורות הנתונים, אפשר לעיין במאמר בנושא Data Lineage API.

הגדרת לקוח MCP לשימוש בשרת MCP של שושלת הנתונים

אפליקציות וסוכנים מבוססי-AI, כמו Claude או Antigravity, יכולים ליצור מופע של לקוח MCP שמתחבר לשרת MCP יחיד. לאפליקציית AI יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. אם האפליקציה שלכם לא מופיעה בהנחיות הספציפיות ללקוח, תוכלו להשתמש במידע הבא כדי להתחבר מרוב האפליקציות.

באפליקציית ה-AI, מחפשים דרך להוסיף או להתחבר לשרת MCP מרוחק. בשרת ה-MCP של שושלת הנתונים, מזינים את הפרטים הבאים לפי הצורך:

שם השרת: שרת MCP של מקורות נתונים
כתובת ה-URL של השרת או נקודת הקצה:
- נקודת קצה גלובלית: https://datalineage.googleapis.com/mcp
- נקודות קצה אזוריות: https://REGION-datalineage.googleapis.com/mcp. מחליפים את REGION באחד מהאזורים הנתמכים.
Transport: HTTP
פרטי אימות: בהתאם לשיטת האימות שבה רוצים להשתמש, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של סוכן. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.
היקף OAuth: היקף OAuth 2.0 שבו רוצים להשתמש כשמתחברים לשרת MCP של מעקב אחר מקורות נתונים.

הנחיות ספציפיות לאפליקציות לגבי הגדרה וחיבור לשרת MCP מפורטות במאמר הנחיות ספציפיות ללקוחות.

הנחיות כלליות נוספות זמינות במקורות המידע הבאים:

כלים זמינים

כדי לראות פרטים על כלי MCP זמינים ותיאורים שלהם עבור שרת ה-MCP של שושלת הנתונים, אפשר לעיין בהפניה ל-MCP של שושלת הנתונים.

כלים ליצירת רשימות

אפשר להשתמש בכלי הבדיקה של MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP tools/list ישירות לשרת ה-MCP המרוחק של מעקב מקורות הנתונים. בשיטה tools/list לא נדרש אימות.

POST /mcp HTTP/1.1
Host: datalineage.googleapis.com
Content-Type: application/json

{
  "method": "tools/list",
  "jsonrpc": "2.0",
  "id": 1
}

תרחישים לדוגמה

דוגמאות לתרחישי שימוש בשרת MCP של שושלת הנתונים:

גילוי כל מקורות הנתונים ותהליכי הטרנספורמציה שמעבירים נתונים לנכס נתונים ספציפי, כדי לאמת את מקור הנתונים ואת הדיוק שלו.
ניתוח ההשפעה של צינורות נתונים פגומים, תקועים או מושהים על צרכני נתונים במורד הזרם.

הנחיות לדוגמה

"בפרויקט my-analytics-project שלי, יש לי מערך נתונים sales_data עם טבלה בשם monthly_reports. תגיד לי את כל נכסי הנתונים ותהליכי השינוי שמזינים נתונים לטבלה הזו".
"יש לי משימה ב-BigQuery שכותבת לטבלה hr_dataset.salary. הבנתי שהעבודה לא פועלת כבר 12 שעות. אפשר לדעת אילו נכסים במורד הזרם יכללו נתונים לא עדכניים בגלל הבעיה הזו?"
"תעבור על טבלת monthly_reports במערך הנתונים sales_data ובפרויקט my-analytics-project כדי למצוא את כל העמודות שיש להן מקורות נתונים במעלה הזרם, ותיתן לי את כל התהליכים שמזינים את העמודות האלה".
"חפש קישורים של שושלת שקשורים לטבלה finance.employment_costs כדי להבין את התלות שלה במקורות נתונים במעלה הזרם".

הגדרות אבטחה ובטיחות אופציונליות

השימוש ב-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של הפעולות שאפשר לבצע באמצעות הכלים של MCP. כדי למזער את הסיכונים האלה ולנהל אותם,Google Cloud מציע הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב- Google Cloud.

מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.

שליטה בשימוש ב-MCP באמצעות כללי מדיניות דחייה ב-IAM

כללי מדיניות הדחייה של ניהול זהויות והרשאות גישה (IAM) עוזרים לכם לאבטח שרתי MCP מרוחקים של Google Cloud . כדאי להגדיר את המדיניות הזו כדי לחסום גישה לא רצויה לכלי MCP.

לדוגמה, אתם יכולים לדחות או לאשר גישה על סמך:

הקרן
מאפייני כלי כמו קריאה בלבד
מזהה הלקוח ב-OAuth של האפליקציה

מידע נוסף זמין במאמר שליטה בשימוש ב-MCP באמצעות ניהול זהויות וגישה.