במסמך הזה מוסבר איך להשתמש בשרת MCP מרוחק של Network Management API כדי ליצור, להציג ולמחוק בדיקות קישוריות.
שרת ה-MCP המרוחק של Network Management API מופעל כשמפעילים את Network Management API.Model Context Protocol (MCP) הוא תקן שקובע איך מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.
מה ההבדל בין שרתי MCP מקומיים לבין שרתי MCP מרחוק?
- שרתי MCP מקומיים
- בדרך כלל פועלים במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר.
- שרתי MCP מרוחקים
- פועל בתשתית של השירות ומציע נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-MCP של ה-AI לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת ה-MCP זמין במאמר ארכיטקטורת ה-MCP.
Google ושרתי MCP מרוחקים Google Cloud
לשרתי MCP מרוחקים של Google יש את התכונות והיתרונות הבאים: Google Cloud- גילוי פשוט ומרכזי
- נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
- הרשאות פרטניות
- אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
- רישום מרכזי ביומן הביקורת
מידע על שרתים אחרים של MCP ועל אמצעי בקרה בנושאי אבטחה וממשל שזמינים לשרתים של Google Cloud MCP מופיע במאמר סקירה כללית על שרתים של Google Cloud MCP.
לפני שמתחילים
ודאו שיש לכם את תפקידי ה-IAM הבאים.
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות לשימוש בשרת MCP של Network Management API, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו אתם רוצים להשתמש בשרת ה-MCP:
-
ביצוע קריאות לכלי ה-MCP:
משתמש בכלי ה-MCP (
roles/mcp.toolUser) -
ביצוע כל הפעולות בבדיקת קישוריות:
אדמין לניהול רשת (
roles/networkmanagement.admin) -
קבלת רשימה של בדיקות קישוריות:
Network Management Viewer (
roles/networkmanagement.viewer) -
מריצים בדיקת קישוריות מול משאבים ספציפיים Google Cloud :
Compute Network Viewer (
roles/compute.networkViewer)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לשימוש בשרת MCP של Network Management API. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי להשתמש בשרת Network Management API MCP, נדרשות ההרשאות הבאות:
-
ביצוע שיחות בכלי ה-MCP:
mcp.tools.call -
יצירת בדיקות קישוריות:
networkmanagement.connectivitytests.create -
כדי להריץ בדיקת קישוריות:
networkmanagement.connectivitytests.get -
רשימת בדיקות הקישוריות:
networkmanagement.connectivitytests.list -
מחיקת בדיקת קישוריות:
networkmanagement.connectivitytests.delete
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
כדי לראות בדיוק אילו הרשאות ותפקידים נדרשים להרצת בדיקות קישוריות, אפשר לעיין במאמר בנושא הרשאות.אימות והרשאה
שרת ה-MCP המרוחק של Network Management API משתמש בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולהרשאה. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.שרת ה-MCP המרוחק של Network Management API לא מקבל מפתחות API.
אנחנו ממליצים ליצור זהות נפרדת לסוכנים שמשתמשים בכלים של MCP, כדי שתוכלו לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.
היקפי הרשאות OAuth של Network Management API MCP
ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת מסוים יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.
Network Management API משתמש בהיקף ההרשאות של OAuth https://www.googleapis.com/auth/cloud-platform.
יכול להיות שיידרשו היקפי הרשאות נוספים במשאבים שאליהם ניגשים במהלך הפעלת כלי.
הגדרת לקוח MCP לשימוש בשרת MCP של Network Management API
אפליקציות וסוכנים מבוססי-AI, כמו Claude או Antigravity, יכולים ליצור מופע של לקוח MCP שמתחבר לשרת MCP יחיד. לאפליקציית AI יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. אם האפליקציה שלכם לא מופיעה בהנחיות הספציפיות ללקוח, תוכלו להשתמש במידע הבא כדי להתחבר מרוב האפליקציות.
באפליקציית ה-AI, מחפשים דרך להוסיף או להתחבר לשרת MCP מרוחק. בשרת ה-MCP של Network Management API, מזינים את הפרטים הבאים לפי הצורך:
- שם השרת: שרת MCP של Network Management API
- כתובת URL של השרת או נקודת קצה:
https://networkmanagement.googleapis.com/mcp - Transport: HTTP
- פרטי אימות: בהתאם לשיטת האימות שבה רוצים להשתמש, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של סוכן. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.
- היקף הרשאות OAuth: היקף ההרשאות של OAuth 2.0 שבו צריך להשתמש כשמתחברים לשרת Network Management API MCP. מזינים את הערך
https://www.googleapis.com/auth/cloud-platform.
הנחיות ספציפיות לאפליקציות לגבי הגדרה וחיבור לשרת MCP מפורטות במאמר הנחיות ספציפיות ללקוחות.
הנחיות כלליות נוספות זמינות במקורות המידע הבאים:
כלים זמינים
כדי לראות פרטים על כלי MCP זמינים והתיאורים שלהם עבור שרת ה-MCP של Network Management API, אפשר לעיין בהפניה ל-MCP של Network Management API.
כלים ליצירת רשימות
אפשר להשתמש בכלי לבדיקת MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP tools/list ישירות לשרת MCP מרוחק של Network Management API. בשיטה tools/list לא נדרש אימות.
POST /mcp HTTP/1.1
Host: networkmanagement.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list"
}
תרחישים לדוגמה
הנה דוגמאות לתרחישי שימוש ב-Network Management API בשרת MCP:
- יצירת בדיקת קישוריות
- קבלת רשימה של בדיקות קישוריות
- מחיקת בדיקת קישוריות
הנחיה לדוגמה:
"Run a connectivity test from vm-1 to vm-2 on port 22 using
the Network Management API MCP server."
אחרי שיוצרים את הבדיקה, פועלים לפי ההנחיות כדי לראות את משאב הבדיקה ואז למחוק אותו.
איך מפרשים את התוצאות:
- תוצאת הנגישות: הערך
REACHABLEב-reachabilityDetailsמציין שהגדרת הרשת מאפשרת תנועה. - תוצאת הבדיקה: הערך
REACHABLEב-probingDetailsמאשר שהבדיקות הפעילות שנשלחו בין נקודות הקצה הצליחו. - עקבות: בודקים את העקבות של כל קפיצה כדי לראות אילו משאבים נכללו בבדיקה.
הגדרות אבטחה ובטיחות אופציונליות
השימוש ב-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של הפעולות שאפשר לבצע באמצעות הכלים של MCP. כדי למזער את הסיכונים האלה ולנהל אותם,Google Cloud מציע הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב- Google Cloud.
מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.