MCP-Server für Managed Service for Apache Spark verwenden

In diesem Dokument wird beschrieben, wie Sie den Remote-MCP-Server (Model Context Protocol) für Managed Service for Apache Spark verwenden, um eine Verbindung zu KI-Anwendungen wie Gemini CLI, ChatGPT, Claude und benutzerdefinierten Anwendungen herzustellen, die Sie entwickeln. Mit dem Remote-MCP-Server für Managed Service for Apache Spark können Sie Cluster-basierte Vorgänge aus Ihrer KI-Anwendung ausführen, z. B. einen Cluster erstellen, einen Job senden oder eine Autoscaling-Richtlinie erstellen.

Das Model Context Protocol (MCP) standardisiert die Verbindung von Large Language Models (LLMs) und KI-Anwendungen oder -Agents mit externen Datenquellen. Mit MCP-Servern können Sie ihre Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten von ihrem Backend-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server

werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standardeingabe- und ‑ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.

Remote-MCP-Server

werden in der Infrastruktur des Dienstes ausgeführt und bieten einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Informationen zum lokalen MCP-Server für Managed Service for Apache Spark finden Sie unter Einführung in die MCP Toolbox für Datenbanken.

Google- und Google Cloud Remote-MCP-Server

• Vereinfachte, zentrale Erkennung
• Verwaltete globale oder regionale HTTP-Endpunkte
• Detaillierte Autorisierung
• Optionale Prompt- und Antwortsicherheit mit Model Armor-Schutz
• Zentralisierte Audit-Protokollierung

Informationen zu anderen MCP-Servern und zu Sicherheits und Governance-Kontrollen, die für Google Cloud-MCP-Server verfügbar sind, finden Sie unter Übersicht über Google Cloud-MCP-Server.

Hinweis

Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto haben Google Cloud, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that you have the permissions required to complete this guide.

Verify that billing is enabled for your Google Cloud project.

Enable the Managed Service for Apache Spark, Cloud Storage, and BigQuery APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that you have the permissions required to complete this guide.

Verify that billing is enabled for your Google Cloud project.

Enable the Managed Service for Apache Spark, Cloud Storage, and BigQuery APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Erforderliche Rollen

Bestimmte IAM-Rollen sind erforderlich, um die Beispiele auf dieser Seite auszuführen. Je nach Organisationsrichtlinie wurden diese Rollen möglicherweise bereits gewährt. Informationen zum Prüfen von Rollenzuweisungen finden Sie unter Müssen Sie Rollen zuweisen?.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Nutzerrollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Managed Service for Apache Spark-Dienstes benötigen:

• Dataproc-Bearbeiter (roles/dataproc.editor) für das Projekt
• Dienstkonto-Nutzer (roles/iam.serviceAccountUser) für das Compute Engine-Standarddienstkonto

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung des MCP-Servers für Managed Service for Apache Spark benötigen:

• MCP-Toolaufrufe ausführen: MCP Tool User (roles/mcp.toolUser)

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden des MCP-Servers für Managed Service for Apache Spark erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Dienstkontorolle

Bitten Sie Ihren Administrator, dem Compute Engine-Standarddienstkonto die IAM-Rolle Dataproc-Worker (roles/dataproc.worker) für das Projekt zuzuweisen, damit das Compute Engine-Standarddienstkonto die erforderlichen Berechtigungen zum Erstellen von Clustern und Senden von Jobs hat.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen von Clustern und Senden von Jobs erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Authentifizierung und Autorisierung

Der Remote-MCP-Server für Managed Service for Apache Spark verwendet das OAuth 2.0 Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server für Managed Service for Apache Spark akzeptiert keine API-Schlüssel.

Wir empfehlen, eine separate Identität für Agents zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.

OAuth-Bereiche für Managed Service for Apache Spark MCP

OAuth 2.0 verwendet Bereiche und Anmeldedaten, um zu ermitteln, ob ein authentifizierter Prinzipal berechtigt ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Managed Service for Apache Spark hat die folgenden OAuth-Bereiche für MCP-Tools:

Für die Ressourcen, auf die während eines Toolaufrufs zugegriffen wird, sind möglicherweise zusätzliche Bereiche erforderlich. Eine Liste der für Managed Service for Apache Spark erforderlichen Bereiche finden Sie unter Managed Service for Apache Spark API.

MCP-Client für die Verwendung des MCP-Servers für Managed Service for Apache Spark konfigurieren

KI-Anwendungen und -Agents wie Claude oder Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den MCP-Server für Managed Service for Apache Spark nach Bedarf Folgendes ein:

• Servername: MCP-Server für Managed Service for Apache Spark
• Server-URL oder Endpunkt: https://dataproc-us-central1.googleapis.com/mcp
• Transport: HTTP
• Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Anmeldedaten, Ihre OAuth-Client-ID und Ihren Clientschlüssel oder eine Agent-Identität und ‑Anmeldedaten eingeben. Google Cloud Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.
• OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie verwenden möchten, wenn Sie eine Verbindung zum MCP-Server für Managed Service for Apache Spark herstellen. Weitere Informationen finden Sie unter OAuth-Bereiche für Managed Service for Apache Spark MCP.

Eine hostspezifische Anleitung zum Einrichten und Herstellen einer Verbindung zu einem MCP-Server finden Sie hier:

• Claude.ai
• Gemini CLI

Allgemeinere Anleitungen finden Sie in den folgenden Ressourcen:

• Mit Remote-MCP-Servern verbinden.
• MCP in einer KI-Anwendung konfigurieren.

Verfügbare Tools

Für schreibgeschützte MCP-Tools ist das MCP-Attribut mcp.tool.isReadOnly auf true gesetzt. Möglicherweise möchten Sie über Ihre Organisationsrichtlinienur schreibgeschützte Tools in bestimmten Umgebungen zulassen.

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den MCP-Server für Managed Service for Apache Spark finden Sie in der MCP-Referenz für Managed Service for Apache Spark.

Tools auflisten

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server für Managed Service for Apache Spark. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: dataproc.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispielanwendungsfälle

Im Folgenden finden Sie einige Beispielanwendungsfälle für den MCP-Server für Managed Service for Apache Spark:

• „Liste die Managed Service for Apache Spark-Cluster in PROJECT_ID und REGION auf.“
• „Rufe den aktuellen Status für den Cluster CLUSTER_NAME in PROJECT_ID und REGION ab.“
• „Lösche CLUSTER_NAME in PROJECT_ID und REGION und warte, bis der Vorgang abgeschlossen ist. Melde alle Fehler, falls der Vorgang fehlgeschlagen ist.“

Ersetzen Sie Folgendes:

• PROJECT_ID: Die Google Cloud Projekt-ID. Projekt-IDs werden im Bereich Projektinformationen im Console- Google Cloud Dashboard aufgeführt.
• REGION: Die Compute Engine Region, in der sich der Managed Service for Apache Spark Cluster befindet.
• CLUSTER_NAME: Der Name des vorhandenen Managed Service for Apache Spark Clusters.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da Sie mit den MCP-Tools eine Vielzahl von Aktionen ausführen können. Um diese Risiken zu minimieren und zu verwalten, Google Cloud bietet Standardeinstellungen und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud Organisation oder Ihrem Projekt steuern können.

Weitere Informationen zu MCP-Sicherheit und ‑Governance finden Sie unter KI-Sicherheit.

Model Armor verwenden

Model Armor ist ein Google Cloud Dienst, der die Sicherheit und Sicherheit Ihrer KI-Anwendungen verbessern soll. Dazu werden LLM-Prompts und ‑Antworten proaktiv geprüft, um vor verschiedenen Risiken zu schützen und verantwortungsbewusste KI-Praktiken zu unterstützen. Unabhängig davon, ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen, kann Model Armor Ihnen helfen, schädliche Eingaben zu verhindern, die Sicherheit von Inhalten zu überprüfen, sensible Daten zu schützen, die Compliance einzuhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchzusetzen.

Wenn Model Armor mit aktivierter Protokollierung aktiviert ist, protokolliert Model Armor die gesamte Nutzlast. Dadurch können in Ihren Logs vertrauliche Informationen offengelegt werden.

Model Armor aktivieren

Sie müssen die Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Um Ihre MCP-Toolaufrufe und ‑Antworten zu schützen, können Sie die Mindesteinstellungen für Model Armor verwenden. Eine Mindesteinstellung definiert die minimalen Sicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Toolaufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Model Armor-Mindesteinstellung mit aktivierter MCP-Bereinigung ein. Weitere Informationen finden Sie unter Mindesteinstellungen für Model Armor konfigurieren.

Sehen Sie sich den folgenden Beispielbefehl an:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID Ihres Projekts.

Beachten Sie die folgenden Einstellungen:

• INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google-MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
• ENABLED: Die Einstellung, mit der ein Filter oder Erzwingung aktiviert wird.
• MEDIUM_AND_ABOVE: Das Konfidenzniveau für die Filtereinstellungen für verantwortungsbewusste Anwendung von KI – gefährlich. Sie können diese Einstellung ändern, niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Konfidenzniveaus von Model Armor.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie das Scannen von Google-MCP-Traffic mit Model Armor beenden möchten, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt ID.

Model Armor scannt keinen MCP-Traffic im Projekt.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Ablehnungsrichtlinien (Identity and Access Management) helfen Ihnen, Remote-MCP-Server zu schützen Google Cloud . Konfigurieren Sie diese Richtlinien, um den unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

• Der Prinzipal
• Toolattribute wie „schreibgeschützt“
• Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit Identity and Access Management steuern.

Nächste Schritte

• Lesen Sie die Referenzdokumentation für Managed Service for Apache Spark MCP.
• Weitere Informationen zu Google Cloud-MCP-Servern