Utiliser le serveur MCP distant de l'API Network Management

Ce document explique comment utiliser le serveur MCP distant de l'API Network Management pour créer, afficher et supprimer des tests de connectivité.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux

S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.

Serveurs MCP à distance

 s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Google et les serveurs MCP distants Google Cloud

• Découverte simplifiée et centralisée
• Points de terminaison HTTP mondiaux ou régionaux gérés
• Autorisations précises
• Sécurité facultative des requêtes et des réponses avec la protection Model Armor
• Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Avant de commencer

Assurez-vous de disposer des rôles IAM suivants.

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP de l'API Network Management, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP :

• Effectuer des appels d'outils MCP : Utilisateur de l'outil MCP (roles/mcp.toolUser)
• Effectuer toutes les opérations sur un test de connectivité : Administrateur Network Management (roles/networkmanagement.admin)
• Obtenir et lister les tests de connectivité : Lecteur Network Management (roles/networkmanagement.viewer)
• Exécutez un test de connectivité sur des ressources Google Cloud spécifiques : Lecteur de réseau Compute (roles/compute.networkViewer)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP de l'API Network Management. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Le serveur MCP distant de l'API Network Management utilise le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP distant de l'API Network Management n'accepte pas les clés API.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.

Habilitations OAuth de l'API Network Management MCP

OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

L'API Network Management utilise le champ d'application OAuth https://www.googleapis.com/auth/cloud-platform.

Des champs d'application supplémentaires peuvent être requis pour les ressources auxquelles l'outil accède lors d'un appel.

Configurer un client MCP pour qu'il utilise le serveur MCP de l'API Network Management

Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP de l'API Network Management, saisissez les informations suivantes, le cas échéant :

• Nom du serveur : serveur MCP de l'API Network Management
• URL du serveur ou point de terminaison : https://networkmanagement.googleapis.com/mcp
• Transport : HTTP
• Informations d'authentification : selon la méthode d'authentification que vous souhaitez utiliser, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
• Champ d'application OAuth : champ d'application OAuth 2.0 à utiliser lors de la connexion au serveur MCP de l'API Network Management. Saisissez https://www.googleapis.com/auth/cloud-platform.

Pour obtenir des conseils spécifiques à l'hôte sur la configuration d'un serveur MCP et la connexion à celui-ci, consultez les articles suivants :

• Claude.ai
• Gemini CLI

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

• Se connecter à des serveurs MCP distants
• Configurer MCP dans une application d'IA

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP de l'API Network Management, consultez la documentation de référence sur le MCP de l'API Network Management.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant de l'API Network Management. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: networkmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list"
}

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP de l'API Network Management :

• Créer un test de connectivité
• Obtenir et lister des tests de connectivité
• Supprimer un test de connectivité

Exemple de requête :

"Exécute un test de connectivité de vm-1 à vm-2 sur le port 22 à l'aide du serveur MCP de l'API Network Management."

Une fois le test créé, suivez les instructions pour afficher, puis supprimer la ressource de test.

Interpréter les résultats :

• Résultat de joignabilité : une valeur REACHABLE dans reachabilityDetails indique que la configuration réseau autorise le trafic.
• Résultat de la vérification : une valeur de REACHABLE dans probingDetails confirme que les vérifications actives envoyées entre les points de terminaison ont réussi.
• Traces : examinez la trace de saut en saut pour voir quelles ressources ont été incluses dans le test.

Configurations de sécurité et de protection facultatives

Le MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou votre projet Google Cloud.

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Étapes suivantes

• Consultez la documentation de référence sur l'API Network Management MCP.
• En savoir plus sur les serveurs MCP Google Cloud