本文档介绍了如何使用数据沿袭远程 Model Context Protocol (MCP) 服务器连接到 Gemini CLI、ChatGPT、Claude 和您正在开发的自定义应用等 AI 应用。借助数据沿袭远程 MCP 服务器,您可以与数据沿袭进行交互,以查询数据沿袭图、发现上游数据来源并分析下游影响。启用 Data Lineage API 时,Data Lineage API 远程 MCP 服务器也会启用。
Model Context Protocol (MCP) 可规范大语言模型 (LLM) 和 AI 应用或代理连接到外部数据源的方式。借助 MCP 服务器,您可以使用其工具、资源和提示来执行操作,并从其后端服务获取更新后的数据。
本地 MCP 服务器和远程 MCP 服务器有何区别?
- 本地 MCP 服务器
- 通常在本地机器上运行,并使用标准输入和输出流 (stdio) 在同一设备上的服务之间进行通信。
- 远程 MCP 服务器
- 在服务的基础设施上运行,并向 AI 应用提供 HTTP 端点,以实现 AI MCP 客户端与 MCP 服务器之间的通信。如需详细了解 MCP 架构,请参阅 MCP 架构。
Google 和 Google Cloud 远程 MCP 服务器
Google 和 Google Cloud 远程 MCP 服务器具有以下功能和优势:- 简化了集中式发现
- 托管式全球或区域 HTTP 端点
- 细粒度授权
- 使用 Model Armor 保护提示和回答安全(可选)
- 集中式审核日志记录
如需了解其他 MCP 服务器,以及适用于 Google Cloud MCP 服务器的安全性和治理控制措施,请参阅 Google Cloud MCP 服务器概览。
准备工作
- 登录您的 Google Cloud 账号。如果您是 Google Cloud新手,请 创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Data Lineage API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
Enable the Data Lineage API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
所需的角色
如需获得使用数据沿袭 MCP 服务器所需的权限,请让您的管理员为您授予您要使用数据沿袭 MCP 服务器的项目的以下 IAM 角色:
-
进行 MCP 工具调用:
MCP Tool User (
roles/mcp.toolUser) -
查看数据沿袭信息:Data Lineage Viewer (
roles/datalineage.viewer)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含使用数据沿袭 MCP 服务器所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需使用数据沿袭 MCP 服务器,需要以下权限:
-
进行 MCP 工具调用:
mcp.tools.call -
在搜索链接时查询数据沿袭:
datalineage.locations.searchLinks
身份验证和授权
Data Lineage API 远程 MCP 服务器使用 OAuth 2.0 协议和 Identity and Access Management (IAM) 进行身份验证和授权。支持所有 Google Cloud 身份用于向 MCP 服务器进行身份验证。我们建议您为使用 MCP 工具的代理创建单独的身份,以便控制和监控对资源的访问权限。如需详细了解身份验证,请参阅向 MCP 服务器进行身份验证。
数据沿袭 MCP OAuth 范围
OAuth 2.0 使用范围和凭证来确定经过身份验证的主账号是否有权对资源执行特定操作。如需详细了解 Google 的 OAuth 2.0 范围,请参阅使用 OAuth 2.0 访问 Google API。
数据沿袭具有以下 MCP 工具 OAuth 范围:
| gcloud CLI 的范围 URI | 说明 |
|---|---|
https://www.googleapis.com/auth/datalineage.readonly |
仅允许读取数据。 |
https://www.googleapis.com/auth/datalineage.read-write |
允许访问以读取和修改数据。 |
在工具调用期间访问的资源可能需要额外的范围。如需查看数据沿袭所需的范围列表,请参阅 Data Lineage API。
配置 MCP 客户端以使用数据沿袭 MCP 服务器
Claude 或 Gemini CLI 等 AI 应用和代理可以实例化连接到单个 MCP 服务器的 MCP 客户端。AI 应用可以有多个连接到不同 MCP 服务器的客户端。如需连接到远程 MCP 服务器,MCP 客户端必须知道远程 MCP 服务器的网址。
在 AI 应用中,寻找连接到远程 MCP 服务器的方式。系统会提示您输入服务器的详细信息,例如其名称和网址。
对于数据沿袭 MCP 服务器,请根据需要输入以下内容:
- 服务器名称:数据沿袭 MCP 服务器
- 服务器网址或端点:
- 全球端点:
https://datalineage.googleapis.com/mcp - 区域端点:
https://REGION-datalineage.googleapis.com/mcp。将 REGION 替换为支持的区域之一。
- 全球端点:
- 传输:HTTP
- 身份验证详细信息:您可以根据所需的身份验证方式,输入 Google Cloud 凭证、OAuth 客户端 ID 和密钥,或代理身份和凭证。如需详细了解身份验证,请参阅向 MCP 服务器进行身份验证。
- OAuth 范围:您在连接到数据沿袭 MCP 服务器时要使用的 OAuth 2.0 范围。
如需查看有关设置和连接到 MCP 服务器的特定于主机的指导,请参阅以下内容:
如需更一般的指导,请参阅以下资源:
可用的工具
如需查看数据沿袭 MCP 服务器的可用 MCP 工具的详细信息及其说明,请参阅数据沿袭 MCP 参考文档。
列出工具
使用 MCP 检查器列出工具,或直接向数据沿袭远程 MCP 服务器发送 tools/list HTTP 请求。tools/list 方法不需要进行身份验证。
POST /mcp HTTP/1.1
Host: datalineage.googleapis.com
Content-Type: application/json
{
"method": "tools/list",
"jsonrpc": "2.0",
"id": 1
}
应用场景示例
数据沿袭 MCP 服务器的应用场景示例包括:
- 发现为特定数据资产提供数据的所有上游数据源和转换流程,以验证数据来源和准确性。
- 分析损坏、停滞或延迟的数据流水线对下游数据使用者的影响。
示例提示
- “在我的项目
my-analytics-project中,我有一个数据集sales_data,其中包含一个名为monthly_reports的表。告诉我哪些数据资产和转换流程会向此表馈送数据。” - “我有一个 BigQuery 作业,用于将数据写入
hr_dataset.salary表。我看到该作业已无法运行 12 小时。您能告诉我哪些下游资产会因这个问题而出现过时数据吗?” - “浏览
sales_data数据集和my-analytics-project项目中的monthly_reports表,找到所有具有上游数据源的列,并提供所有向这些列提供数据的流程。” - “搜索与表
finance.employment_costs关联的沿袭链接,以了解其上游依赖项。”
可选的安全配置
由于 MCP 工具可执行各种操作,因此 MCP 会引发新的安全风险和注意事项。为了最大限度地降低这些风险并进行管理,Google Cloud 提供了默认设置和可自定义的政策,用于控制 MCP 工具在 Google Cloud组织或项目中的使用。
如需详细了解 MCP 安全性和治理,请参阅 AI 安全性。
使用 IAM 拒绝政策控制 MCP 使用情况
Identity and Access Management (IAM) 拒绝政策有助于保护 Google Cloud 远程 MCP 服务器。配置这些政策以阻止不需要的 MCP 工具访问。
例如,您可以根据以下条件拒绝或允许访问:
- 正文
- 工具属性(例如只读)
- 应用的 OAuth 客户端 ID
如需了解详情,请参阅使用 Identity and Access Management 控制 MCP 的使用。
后续步骤
- 阅读数据沿袭 MCP 参考文档。
- 详细了解 Google Cloud MCP 服务器。