Este documento mostra como usar o servidor MCP remoto da API Management de rede para criar, visualizar e excluir Testes de conectividade.
O servidor MCP remoto da API Network Management é ativado quando você ativa a API Network Management.O Protocolo de Contexto de Modelo (MCP) padroniza como modelos de linguagem grandes (LLMs) e aplicativos ou agentes de IA se conectam a fontes de dados externas. Os servidores MCP permitem que você use as ferramentas, os recursos e os comandos deles para realizar ações e receber dados atualizados do serviço de back-end.
Qual é a diferença entre servidores MCP locais e remotos?
- Servidores MCP locais
- Normalmente são executados na máquina local e usam os fluxos de entrada e saída padrão (stdio) para comunicação entre serviços no mesmo dispositivo.
- Servidores MCP remotos
- São executados na infraestrutura do serviço e oferecem um endpoint HTTP para aplicativos de IA para comunicação entre o cliente MCP de IA e o servidor MCP. Para mais informações sobre a arquitetura do MCP, consulte Arquitetura do MCP.
Servidores MCP do Google e Google Cloud remotos
Os servidores MCP remotos do Google e Google Cloud têm os seguintes recursos e benefícios:- Descoberta simplificada e centralizada
- Endpoints HTTP globais ou regionais gerenciados
- Autorização detalhada
- Segurança opcional de comandos e respostas com a proteção do Model Armor
- Geração de registros de auditoria centralizada
Para informações sobre outros servidores MCP e informações sobre segurança e controles de governança disponíveis para servidores MCP do Google Cloud, consulte Visão geral dos servidores MCP do Google Cloud.
Antes de começar
Verifique se você tem os seguintes papéis do IAM.
Funções exigidas
Para receber as permissões necessárias para usar o servidor MCP da API Network Management, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você quer usar o servidor MCP:
-
Fazer chamadas de ferramentas do MCP:
usuário da ferramenta MCP (
roles/mcp.toolUser) -
Realizar todas as operações em um teste de conectividade:
administrador de gerenciamento de rede (
roles/networkmanagement.admin) -
Receber e listar testes de conectividade:
Leitor de gerenciamento de rede (
roles/networkmanagement.viewer) -
Executar um teste de conectividade em recursos específicos:
Leitor de rede do Compute (
roles/compute.networkViewer) Google Cloud
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para usar o servidor MCP da API Management de rede. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões abaixo são necessárias para usar o servidor MCP da API Network Management:
-
Fazer chamadas de ferramentas do MCP:
mcp.tools.call -
Criar testes de conectividade:
networkmanagement.connectivitytests.create -
Receber um teste de conectividade:
networkmanagement.connectivitytests.get -
Listar testes de conectividade:
networkmanagement.connectivitytests.list -
Excluir um teste de conectividade:
networkmanagement.connectivitytests.delete
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Para conferir as permissões e os papéis exatos necessários para executar testes de conectividade, consulte Permissões.Autenticação e autorização
O servidor MCP remoto da API Network Management usa o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são aceitas para autenticação em servidores MCP.O servidor MCP remoto da API Management de rede não aceita chaves de API.
Recomendamos que você crie uma identidade separada para agentes que usam ferramentas do MCP para que o acesso aos recursos possa ser controlado e monitorado. Para mais informações sobre autenticação, consulte Autenticar em servidores MCP.
Escopos do OAuth do MCP da API Management de rede
O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.
A API Network Management usa o
https://www.googleapis.com/auth/cloud-platform escopo do OAuth.
Outros escopos podem ser necessários nos recursos acessados durante uma chamada de ferramenta.
Configurar um cliente MCP para usar o servidor MCP da API Management de rede
Aplicativos e agentes de IA, como a CLI do Claude ou do Gemini, podem instanciar um cliente MCP que se conecta a um único servidor MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores MCP. Para se conectar a um servidor MCP remoto, o cliente MCP precisa saber o URL do servidor MCP remoto.
No aplicativo de IA, procure uma maneira de se conectar a um servidor MCP remoto. Você vai receber uma solicitação para inserir detalhes sobre o servidor, como nome e URL.
Para o servidor MCP da API Management de Network, insira o seguinte, conforme necessário:
- Nome do servidor: servidor MCP da API Management de rede
- URL do servidor ou endpoint:
https://networkmanagement.googleapis.com/mcp - Transporte: HTTP
- Detalhes de autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID do cliente OAuth e a chave secreta ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores MCP.
- Escopo do OAuth: o escopo do OAuth 2.0 a ser usado ao se conectar ao servidor MCP da API de Gerenciamento de Rede. Insira
https://www.googleapis.com/auth/cloud-platform.
Para orientações específicas do host sobre como configurar e se conectar a um servidor MCP, consulte o seguinte:
Para orientações mais gerais, consulte os seguintes recursos:
Ferramentas disponíveis
Para conferir detalhes das ferramentas MCP disponíveis e as descrições delas para o servidor MCP da API Management de rede, consulte a referência do MCP da API Management de rede.
Listar ferramentas
Use o inspetor do MCP para listar ferramentas ou envie uma
tools/list solicitação HTTP diretamente para o API Management de Rede
servidor MCP remoto. O método tools/list não exige autenticação.
POST /mcp HTTP/1.1
Host: networkmanagement.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list"
}
Exemplos de casos de uso
Confira a seguir exemplos de casos de uso para o servidor MCP da API Network Management:
- Criar um teste de conectividade
- Receber e listar testes de conectividade
- Excluir um teste de conectividade
Exemplo de comando:
Execute um teste de conectividade de vm-1 para vm-2 na porta 22 usando o servidor MCP da API Management de rede.
Depois que o teste for criado, siga as instruções para visualizar e excluir o recurso de teste.
Como interpretar os resultados:
- Resultado de acessibilidade: um valor de
REACHABLEemreachabilityDetailsindica que a configuração de rede permite o tráfego. - Resultado da análise: um valor de
REACHABLEemprobingDetailsconfirma que as análises ativas enviadas entre os endpoints foram bem-sucedidas. - Rastreamentos: revise o rastreamento de salto a salto para conferir quais recursos foram incluídos no teste.
Configurações opcionais de segurança e proteção
O MCP introduz novos riscos e considerações de segurança devido à grande variedade de ações que podem ser realizadas com as ferramentas do MCP. Para minimizar e gerenciar esses riscos, Google Cloud oferece configurações padrão e políticas personalizáveis para controlar o uso de ferramentas do MCP na sua Google Cloud organização ou projeto.
Para mais informações sobre segurança e governança do MCP, consulte Segurança e proteção de IA.
A seguir
- Leia a documentação de referência do MCP da API Management de rede
- Saiba mais sobre os servidores MCP do Google Cloud