Network Management API リモート MCP サーバーを使用する

このドキュメントでは、Network Management API リモート MCP サーバーを使用して、接続テストを作成、表示、削除する方法について説明します。

Model Context Protocol（MCP）により、大規模言語モデル（LLM）と AI アプリケーション（エージェント）が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンド サービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか？

ローカル MCP サーバー

通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム（stdio）を使用します。

リモート MCP サーバー

サービスのインフラストラクチャで実行され、AI MCP クライアントと MCP サーバー間の通信用に AI アプリケーションに HTTP エンドポイントを提供します。MCP アーキテクチャの詳細については、MCP アーキテクチャをご覧ください。

Google と Google Cloud リモート MCP サーバー

• 簡素化された一元的な検出
• マネージド グローバルまたはリージョン HTTP エンドポイント
• きめ細かい認可
• Model Armor 保護によるプロンプトとレスポンスのセキュリティ（オプション）
• 一元的な監査ロギング

他の MCP サーバーと、Google Cloud MCP サーバーで使用可能なセキュリティとガバナンスの制御については、Google Cloud MCP サーバーの概要をご覧ください。

始める前に

次の IAM ロールがあることを確認します。

必要なロール

Network Management API MCP サーバーを使用するために必要な権限を取得するには、MCP サーバーを使用するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

• MCP ツール呼び出しを行う: MCP ツールユーザー （roles/mcp.toolUser）
• 接続テストですべてのオペレーションを実行する: ネットワーク管理管理者 （roles/networkmanagement.admin）
• 接続テストを取得して一覧表示する: ネットワーク管理閲覧者 （roles/networkmanagement.viewer）
• 特定のリソースに対して接続テストを実行する: Compute ネットワーク閲覧者 （roles/compute.networkViewer） Google Cloud

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには、Network Management API MCP サーバーの使用に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

認証と認可

Network Management API リモート MCP サーバーは API キーを受け入れません。

リソースへのアクセスを制御してモニタリングできるように、MCP ツールを使用するエージェント用に個別の ID を作成することをおすすめします。認証の詳細については、MCP サーバーに対して認証するをご覧ください。

Network Management API MCP の OAuth スコープ

OAuth 2.0 では、スコープと認証情報を使用して、認証されたプリンシパルがリソースに対して特定のアクションを実行する権限があるかどうかを判断します。Google の OAuth 2.0 スコープの詳細については、OAuth 2.0 を使用して Google API にアクセスするをご覧ください。

Network Management API は https://www.googleapis.com/auth/cloud-platform OAuth スコープを使用します。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。

Network Management API MCP サーバーを使用するように MCP クライアントを構成する

Claude や Antigravity などの AI アプリケーションとエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、異なる MCP サーバーに接続する複数のクライアントを設定できます。アプリケーションがクライアント固有のガイダンスに記載されていない場合は、次の情報を使用してほとんどのアプリケーションから接続できます。

AI アプリケーションで、リモート MCP サーバーを追加または接続する方法を探します。Network Management API MCP サーバーの場合は、必要に応じて次の情報を入力します。

• サーバー名: Network Management API MCP サーバー
• サーバー URL またはエンドポイント: https://networkmanagement.googleapis.com/mcp
• トランスポート: HTTP
• 認証の詳細: 認証方法に応じて、 Google Cloud 認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。認証の詳細については、MCP サーバーに対して認証するをご覧ください。
• OAuth スコープ: Network Management API MCP サーバーに接続するときに使用する OAuth 2.0 スコープ。https://www.googleapis.com/auth/cloud-platform と入力します。

MCP サーバーの設定と接続に関するアプリケーション固有のガイダンスについては、クライアント固有のガイダンスをご覧ください。

一般的なガイダンスについては、次のリソースをご覧ください。

• リモート MCP サーバーに接続する。
• AI アプリケーションで MCP を構成する。

使用可能なツール

Network Management API MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、Network Management API MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、tools/list HTTP リクエストを Network Management API リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: networkmanagement.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list"
}

サンプル ユースケース

Network Management API MCP サーバーのユースケースの例を次に示します。

• 接続テストを作成する
• 接続テストを取得して一覧表示する
• 接続テストの削除

サンプル プロンプト:

「Network Management API MCP サーバーを使用して、vm-1 から vm-2 のポート 22 への接続テストを実行します。」

テストを作成したら、プロンプトに沿ってテストリソースを表示し、削除します。

結果の解釈方法:

• 到達可能性の結果: reachabilityDetails の値 REACHABLE は、ネットワーク構成でトラフィックが許可されていることを示します。
• プローブの結果: probingDetails の値が REACHABLE の場合、エンドポイント間で送信されたアクティブ プローブが成功したことを示します。
• トレース: ホップバイホップのトレースを確認して、テストに含まれていたリソースを確認します。

セキュリティと安全に関するオプションの構成

MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティ リスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、Google Cloud は、 Google Cloud組織またはプロジェクトでの MCP ツールの使用を制御するデフォルトの設定とカスタマイズ可能なポリシーを提供します。

MCP のセキュリティとガバナンスの詳細については、AI のセキュリティと安全性をご覧ください。

次のステップ

• Network Management API MCP リファレンス ドキュメントを読む
• Google Cloud MCP サーバーの詳細を確認する