本文档介绍了如何使用 Network Management API 远程 MCP 服务器创建、查看和删除 Connectivity Tests。
启用 Network Management API 后,系统会启用 Network Management API 远程 MCP 服务器。Model Context Protocol (MCP) 规范了大语言模型 (LLM) 和 AI 应用或 代理连接到外部数据源的方式。借助 MCP 服务器,您可以使用其工具、资源和提示来执行操作,并从其后端服务获取更新后的数据。
本地 MCP 服务器和远程 MCP 服务器有何区别?
- 本地 MCP 服务器
- 通常在本地机器上运行,并使用标准输入和输出流 (stdio) 在同一设备上的服务之间进行通信。
- 远程 MCP 服务器
- 在服务的基础设施上运行,并向 AI 应用提供 HTTP 端点,以便在 AI MCP 客户端和 MCP 服务器之间进行通信。如需详细了解 MCP 架构,请参阅 MCP 架构。
Google 和 Google Cloud 远程 MCP 服务器
Google 和 Google Cloud 远程 MCP 服务器具有以下 功能和优势:- 简化、集中式发现
- 托管式全球或区域 HTTP 端点
- 细粒度授权
- 使用 Model Armor 保护的可选提示和响应安全性
- 集中式审核日志记录
如需了解其他 MCP 服务器,以及 Google Cloud MCP 服务器可用的安全 和治理控制措施, 请参阅 Google Cloud MCP 服务器概览。
准备工作
确保您拥有以下 IAM 角色。
所需角色
如需获得使用 Network Management API MCP 服务器所需的权限,请让您的管理员为您授予要在其中使用 MCP 服务器的项目的以下 IAM 角色:
-
进行 MCP 工具调用:
MCP Tool User (
roles/mcp.toolUser) -
对连接测试执行所有操作:
Network Management Admin (
roles/networkmanagement.admin) -
获取和列出连接测试:
Network Management Viewer (
roles/networkmanagement.viewer) -
针对特定 Google Cloud 资源运行连接测试:
Compute Network Viewer (
roles/compute.networkViewer)
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
这些预定义角色包含 使用 Network Management API MCP 服务器所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需使用 Network Management API MCP 服务器,需要以下权限:
-
进行 MCP 工具调用:
mcp.tools.call -
创建连接测试:
networkmanagement.connectivitytests.create -
获取连接测试:
networkmanagement.connectivitytests.get -
列出连接测试:
networkmanagement.connectivitytests.list -
删除连接测试:
networkmanagement.connectivitytests.delete
身份验证和授权
Network Management API 远程 MCP 服务器使用 OAuth 2.0 协议和 Identity and Access Management (IAM) 进行身份验证和授权。所有 Google Cloud 身份 都支持对 MCP 服务器进行身份验证。Network Management API 远程 MCP 服务器不接受 API 密钥。
我们建议您为使用 MCP 工具的代理创建单独的身份,以便控制和监控对资源的访问权限。如需详细了解 身份验证,请参阅 对 MCP 服务器进行身份验证。
Network Management API MCP OAuth 范围
OAuth 2.0 使用范围和凭证来确定经过身份验证的主账号是否有权对资源执行特定操作。如需详细了解 Google 的 OAuth 2.0 范围,请参阅 使用 OAuth 2.0 访问 Google API。
Network Management API 使用
https://www.googleapis.com/auth/cloud-platform OAuth 范围。
在工具调用期间访问的资源可能需要其他范围。
将 MCP 客户端配置为使用 Network Management API MCP 服务器
Claude 或 Antigravity 等 AI 应用和代理可以实例化连接到单个 MCP 服务器的 MCP 客户端。AI 应用可以有多个客户端,这些客户端连接到不同的 MCP 服务器。 如果您的应用未列在 特定于客户端的指南中,则可以使用 以下信息从大多数应用进行连接。
在 AI 应用中,寻找添加或连接到远程 MCP 服务器的方式。 对于 Network Management API MCP 服务器,请根据需要输入以下信息:
- 服务器名称:Network Management API MCP 服务器
- 服务器网址 或 端点:
https://networkmanagement.googleapis.com/mcp - 传输:HTTP
- 身份验证详细信息:您可以根据所需的身份验证方式, 输入凭证、OAuth 客户端 ID 和密钥,或代理身份和凭证。 Google Cloud 如需详细了解 身份验证,请参阅对 MCP 服务器进行身份验证。
- OAuth 范围:连接到 Network Management API
MCP 服务器时要使用的 OAuth 2.0 范围。输入
https://www.googleapis.com/auth/cloud-platform。
如需了解有关设置和连接到 MCP 服务器的应用专用指南, 请参阅 特定于客户端的指南。
如需查看更通用的指导,请参阅以下资源:
可用的工具
如需查看 Network Management API MCP 服务器的可用 MCP 工具的详细信息及其说明,请参阅 Network Management API MCP 参考文档。
列出工具
使用 MCP 检查器 列出工具,或直接向 Network Management API
远程 MCP 服务器发送
tools/list HTTP 请求。tools/list 方法不需要进行身份验证。
POST /mcp HTTP/1.1
Host: networkmanagement.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list"
}
应用场景示例
以下是 Network Management API MCP 服务器的示例应用场景:
- 创建连接测试
- 获取和列出连接测试
- 删除连接测试
提示示例:
“使用 Network Management API MCP 服务器在端口 22 上运行从 vm-1 到 vm-2 的连接测试。”
创建测试后,按照提示查看,然后删除测试资源。
如何解读结果:
- 可访问性结果:
REACHABLE中的值reachabilityDetails表示网络配置 允许流量。 - 探测结果:
REACHABLE中的值probingDetails确认 在端点之间发送的活跃探测成功。 - 跟踪记录:查看逐跳跟踪记录,了解测试中包含哪些资源 。
可选的安全配置
由于 MCP 工具可执行各种操作,因此 MCP 会引发新的安全风险和注意事项。为了最大限度地降低这些风险并进行管理, Google Cloud 提供了默认设置和可自定义的 政策,用于控制 MCP 工具在您的 Google Cloud 组织或项目中的使用。
如需详细了解 MCP 安全性和治理,请参阅 AI 安全性。