Menggunakan server MCP jarak jauh GKE

Model Context Protocol (MCP) menstandardisasi cara model bahasa besar (LLM) dan aplikasi atau agen AI terhubung ke sumber data eksternal. Server MCP memungkinkan Anda menggunakan alat, resource, dan perintahnya untuk melakukan tindakan dan mendapatkan data terbaru dari layanan backend-nya.

Server MCP lokal biasanya berjalan di komputer lokal Anda dan menggunakan aliran input dan output standar (stdio) untuk komunikasi antar-layanan di perangkat yang sama. Server MCP jarak jauh berjalan di infrastruktur layanan dan menawarkan endpoint HTTP ke aplikasi AI untuk komunikasi antara klien MCP AI dan server MCP. Untuk mengetahui informasi selengkapnya tentang arsitektur MCP, lihat Arsitektur MCP.

Dokumen ini menjelaskan cara menggunakan server Model Context Protocol (MCP) jarak jauh GKE untuk terhubung ke GKE dari aplikasi AI seperti Gemini CLI, mode agen di Gemini Code Assist, Claude Code, atau di aplikasi AI yang Anda kembangkan.

Untuk mengetahui informasi tentang server MCP lokal GKE, lihat Server MCP GKE di GitHub.

Server MCP jarak jauh Google dan Google Cloud memiliki fitur dan manfaat berikut:

  • Penemuan yang disederhanakan dan terpusat.
  • Mengelola endpoint HTTP global atau regional.
  • Otorisasi terperinci.
  • Keamanan perintah dan respons opsional dengan perlindungan Model Armor.
  • Logging audit terpusat.

Untuk mengetahui informasi tentang server MCP lainnya dan informasi tentang kontrol keamanan dan tata kelola yang tersedia untuk server MCP Google Cloud, lihat Ringkasan server MCP Google Cloud.

Anda mungkin ingin menggunakan server MCP lokal GKE karena alasan berikut:

  • Pengembangan dan pengujian lokal
  • Penggunaan MCP offline
  • Pembuatan cluster dan workload, termasuk pembuatan manifes untuk workload AI/ML
  • Konfigurasi klien lokal (menggunakan kubeconfig)
  • Log kueri
  • Mendapatkan rekomendasi biaya dan keamanan untuk lingkungan GKE Anda

Untuk mengetahui informasi selengkapnya tentang cara menggunakan server MCP lokal kami, lihat Server MCP GKE. Bagian berikut hanya berlaku untuk server MCP jarak jauh GKE.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. Install the Google Cloud CLI.

  3. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  4. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  5. Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Kubernetes Engine API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable container.googleapis.com

  8. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/container.clusterViewer 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    Replace the following:

    • PROJECT_ID: Your project ID.
    • USER_IDENTIFIER: The identifier for your user account. For example, myemail@example.com.
    • ROLE: The IAM role that you grant to your user account.

  9. Install the Google Cloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  12. Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  13. Verify that billing is enabled for your Google Cloud project.

  14. Enable the Kubernetes Engine API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable container.googleapis.com

  15. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/container.clusterViewer 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    Replace the following:

    • PROJECT_ID: Your project ID.
    • USER_IDENTIFIER: The identifier for your user account. For example, myemail@example.com.
    • ROLE: The IAM role that you grant to your user account.
    16.

    Peran yang diperlukan

    Untuk melakukan penyiapan satu kali guna mengaktifkan server MCP jarak jauh GKE, administrator memerlukan peran berikut:

    • Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin): Berikan peran ini di organisasi Google Cloud Anda untuk mengizinkan pembuatan kebijakan organisasi kustom.
    • Service Usage Admin (roles/serviceusage.serviceUsageAdmin): Berikan peran ini di project Google Cloud Anda untuk mengizinkan pengaktifan endpoint layanan MCP jarak jauh. Peran ini mencakup izin serviceusage.mcppolicy.get dan serviceusage.mcppolicy.update.

    Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Peran untuk menggunakan layanan

    Akun utama yang melakukan panggilan ke alat server MCP jarak jauh memerlukan izin untuk mengakses resource GKE. Principal ini dapat berupa pengguna manusia atau akun layanan otomatis. Minimal, berikan peran berikut di projectGoogle Cloud Anda:

    • Pengguna Alat MCP (roles/mcp.toolUser): Memberikan izin untuk melakukan panggilan alat ke endpoint server MCP.
    • Kubernetes Engine Cluster Viewer (roles/container.clusterViewer): Peran ini memberikan akses hanya baca yang diperlukan untuk alat server jarak jauh.

    Berikan peran ini kepada:

    • Akun pengguna saat seseorang berinteraksi dengan server MCP melalui klien seperti Gemini CLI.
    • Akun layanan saat membangun agen atau aplikasi otonom yang memanggil server MCP.

    Mengaktifkan atau menonaktifkan server MCP jarak jauh GKE

    Anda dapat mengaktifkan atau menonaktifkan server MCP jarak jauh GKE dalam project dengan perintah gcloud beta services mcp enable. Untuk informasi selengkapnya, lihat bagian berikut.

    Mengaktifkan server MCP jarak jauh GKE dalam project

    Jika Anda menggunakan project yang berbeda untuk kredensial klien, seperti kunci akun layanan, ID klien OAuth, atau kunci API, dan untuk menghosting resource, Anda harus mengaktifkan layanan GKE dan server MCP jarak jauh GKE di kedua project.

    Untuk mengaktifkan server MCP jarak jauh GKE di Google Cloud project Anda, jalankan perintah berikut:

    gcloud beta services mcp enable container.googleapis.com \
    --project=PROJECT_ID

    Ganti PROJECT_ID dengan ID project Google Cloud .

    Server MCP jarak jauh GKE diaktifkan untuk digunakan di Google Cloud Project Anda. Jika layanan GKE tidak diaktifkan untuk projectGoogle Cloud Anda, Anda akan diminta untuk mengaktifkan layanan sebelum mengaktifkan server MCP jarak jauh GKE.

    Sebagai praktik terbaik keamanan, sebaiknya aktifkan server MCP hanya untuk layanan yang diperlukan agar aplikasi AI Anda dapat berfungsi.

    Menonaktifkan server MCP jarak jauh GKE dalam project

    Untuk menonaktifkan server MCP jarak jauh GKE di project Google Cloud Anda, jalankan perintah berikut:

    gcloud beta services mcp disable SERVICE \
    --project=PROJECT_ID

    Server MCP jarak jauh GKE dinonaktifkan untuk digunakan di Google Cloud Project Anda.

    Autentikasi dan otorisasi

    Server MCP jarak jauh GKE menggunakan protokol OAuth 2.0 dengan Identity and Access Management (IAM) untuk autentikasi dan otorisasi. Semua Google Cloud identitas didukung untuk autentikasi ke server MCP.

    Server MCP jarak jauh GKE tidak menerima kunci API untuk autentikasi.

    Sebaiknya buat identitas terpisah untuk agen menggunakan alat MCP agar akses ke resource dapat dikontrol dan dipantau. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

    Cakupan OAuth MCP jarak jauh GKE

    OAuth 2.0 menggunakan cakupan dan kredensial untuk menentukan apakah akun utama terautentikasi diizinkan untuk melakukan tindakan tertentu pada resource. Untuk mengetahui informasi selengkapnya tentang cakupan OAuth 2.0 di Google, baca Menggunakan OAuth 2.0 untuk mengakses Google API.

    GKE memiliki cakupan OAuth alat MCP berikut:

    URI cakupan untuk gcloud CLI Deskripsi
    https://www.googleapis.com/auth/cloud-platform Memberikan akses hanya baca yang luas ke project Google Cloud Anda.

    Cakupan tambahan mungkin diperlukan pada resource yang diakses selama panggilan alat. Untuk melihat daftar cakupan yang diperlukan untuk GKE, lihat GKE API.

    Mengonfigurasi klien MCP untuk menggunakan server MCP GKE

    Program host, seperti Claude atau Gemini CLI, dapat membuat instance klien MCP yang terhubung ke satu server MCP. Program host dapat memiliki beberapa klien yang terhubung ke server MCP yang berbeda. Untuk terhubung ke server MCP jarak jauh, klien MCP setidaknya harus mengetahui URL server MCP jarak jauh.

    Di host Anda, cari cara untuk terhubung ke server MCP jarak jauh. Anda akan diminta untuk memasukkan detail tentang server, seperti nama dan URL-nya.

    Untuk server MCP jarak jauh GKE, masukkan hal berikut sesuai kebutuhan:

    • Nama server: Server MCP jarak jauh GKE
    • URL Server atau Endpoint: https://container.googleapis.com/mcp
    • Transportasi: HTTP
    • Detail autentikasi: Bergantung pada cara autentikasi yang Anda inginkan, Anda dapat memasukkan Google Cloud kredensial, ID Klien OAuth dan rahasia, atau identitas dan kredensial agen. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

    Untuk panduan khusus host, lihat artikel berikut:

    Untuk panduan yang lebih umum, lihat Menghubungkan ke server MCP jarak jauh.

    Alat yang tersedia

    Alat MCP yang hanya baca memiliki atribut MCP mcp.tool.isReadOnly yang ditetapkan ke true. Anda mungkin hanya ingin mengizinkan alat hanya baca di lingkungan tertentu melalui kebijakan organisasi.

    Untuk melihat detail alat MCP yang tersedia dan deskripsinya untuk server MCP GKE, lihat referensi MCP GKE.

    Alat daftar

    Gunakan pemeriksa MCP untuk mencantumkan alat, atau kirim permintaan HTTP tools/list langsung ke server MCP jarak jauh GKE. Metode tools/list tidak memerlukan autentikasi.

    POST /mcp HTTP/1.1
Host: container.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

    Kasus penggunaan sampel

    Berikut adalah contoh kasus penggunaan untuk server MCP jarak jauh GKE:

    • Periksa konfigurasi dan status cluster GKE dan kumpulan node Anda. Misalnya, gunakan perintah: "Show me the details of my 'production-cluster' and list all of its node pools."
    • Melihat konfigurasi resource Kubernetes dan log container dari dalam cluster tanpa menggunakan kubectl. Misalnya, gunakan perintah: "Get the YAML for the 'frontend-deployment' in the 'default' namespace."
    • Pantau status operasi GKE yang berjalan lama, seperti upgrade cluster. Misalnya, gunakan perintah: "List all the GKE operations in my project from the last hour." (Buat daftar semua operasi GKE di project saya dari satu jam terakhir).

    Konfigurasi keamanan dan keselamatan opsional

    MCP memperkenalkan risiko dan pertimbangan keamanan baru karena berbagai tindakan yang dapat dilakukan dengan alat MCP. Untuk meminimalkan dan mengelola risiko ini,Google Cloud menawarkan kebijakan default dan yang dapat disesuaikan untuk mengontrol penggunaan alat MCP di organisasi atau project Anda Google Cloud.

    Untuk mengetahui informasi selengkapnya tentang keamanan dan tata kelola MCP, lihat Keamanan dan keselamatan AI.

    Model Armor

    Model Armor adalah layananGoogle Cloud yang dirancang untuk meningkatkan keamanan dan keselamatan aplikasi AI Anda. Cara kerjanya adalah dengan menyaring perintah dan respons LLM secara proaktif, melindungi dari berbagai risiko, dan mendukung praktik AI yang bertanggung jawab. Baik Anda men-deploy AI di lingkungan cloud Anda, atau di penyedia cloud eksternal, Model Armor dapat membantu Anda mencegah input berbahaya, memverifikasi keamanan konten, melindungi data sensitif, mempertahankan kepatuhan, dan menerapkan kebijakan keamanan AI Anda secara konsisten di seluruh lanskap AI Anda yang beragam.

    Model Armor hanya tersedia di lokasi regional tertentu. Jika Model Armor diaktifkan untuk project, dan panggilan ke project tersebut berasal dari region yang tidak didukung, Model Armor akan melakukan panggilan lintas region. Untuk mengetahui informasi selengkapnya, lihat Lokasi Model Armor.

    Mengaktifkan Model Armor

    Untuk mengaktifkan Model Armor, selesaikan langkah-langkah berikut:

    1. Untuk mengaktifkan Model Armor di project Google Cloud Anda, jalankan perintah gcloud CLI berikut:

      gcloud services enable modelarmor.googleapis.com \
    --project=PROJECT_ID

      Ganti PROJECT_ID dengan Google Cloud project ID Anda.

    2. Untuk mengonfigurasi setelan minimum yang direkomendasikan untuk Model Armor, jalankan perintah gcloud CLI berikut:

      gcloud model-armor floorsettings update \
    --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
    --mcp-sanitization=ENABLED \
    --malicious-uri-filter-settings-enforcement=ENABLED

      Ganti PROJECT_ID dengan Google Cloud project ID Anda.

      Model Armor dikonfigurasi untuk memindai upaya URL berbahaya.

      Untuk mengetahui informasi selengkapnya tentang filter Model Armor yang dapat dikonfigurasi, lihat Filter Model Armor.

    3. Untuk menambahkan Model Armor sebagai penyedia keamanan konten untuk layanan MCP, jalankan perintah gcloud CLI berikut:

      gcloud beta services mcp content-security add modelarmor.googleapis.com \
    --project=PROJECT_ID

      Ganti PROJECT_ID dengan ID project Google Cloud .

    4. Untuk mengonfirmasi bahwa traffic MCP dikirim ke Model Armor, jalankan perintah berikut:

      gcloud beta services mcp content-security get \
    --project=PROJECT_ID

      Ganti PROJECT_ID dengan ID project Google Cloud .

    Pencatatan log Model Armor

    Untuk mengetahui informasi tentang log audit dan platform Model Armor, lihat Logging audit Model Armor.

    Menonaktifkan Model Armor dalam project

    Untuk menonaktifkan Model Amor di Google Cloud project, jalankan perintah berikut:

    gcloud beta services mcp content-security remove modelarmor.googleapis.com \
    --project=PROJECT_ID

    Ganti PROJECT_ID dengan ID project Google Cloud .

    Traffic MCP di Google Cloud tidak akan dipindai oleh Model Armor untuk project yang ditentukan.

    Menonaktifkan pemindaian traffic MCP dengan Model Armor

    Jika Anda masih ingin menggunakan Model Armor dalam project, tetapi ingin berhenti memindai traffic MCP dengan Model Armor, jalankan perintah berikut:

    gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --mcp-sanitization=DISABLED

    Ganti PROJECT_ID dengan ID project Google Cloud .

    Model Armor tidak akan memindai traffic MCP di Google Cloud.

    Kontrol MCP tingkat organisasi

    Anda dapat membuat kebijakan organisasi kustom untuk mengontrol penggunaan server MCP di organisasi Google Cloud Anda menggunakan batasan gcp.managed.allowedMCPService. Untuk mengetahui informasi selengkapnya dan contoh penggunaan, lihat Kontrol akses server MCP Google Cloud dengan IAM.

    Langkah berikutnya