本文說明如何使用 Network Management API 遠端 MCP 伺服器,建立、查看及刪除連線測試。
啟用 Network Management API 時,系統會啟用 Network Management API 遠端 MCP 伺服器。Model Context Protocol (MCP) 規範大型語言模型 (LLM) 和 AI 應用程式/代理程式連結外部資料來源的標準方式。MCP 伺服器可讓您使用工具、資源和提示,從後端服務採取行動及取得更新資料。
本機和遠端 MCP 伺服器有何不同?
- 本機 MCP 伺服器
- 通常在本機電腦上執行,並使用標準輸入和輸出串流 (stdio),在同一部裝置上的服務之間進行通訊。
- 遠端 MCP 伺服器
- 在服務的基礎架構上執行,並為 AI 應用程式提供 HTTP 端點,供 AI MCP 用戶端與 MCP 伺服器之間的通訊。如要進一步瞭解 MCP 架構,請參閱 MCP 架構。
Google 和 Google Cloud 遠端 MCP 伺服器
Google 和 Google Cloud 遠端 MCP 伺服器具有下列功能和優點:- 簡化集中式探索作業
- 代管全域或區域 HTTP 端點
- 精細授權
- (選用) 使用 Model Armor 保護提示詞和回覆
- 集中式稽核記錄
如要瞭解其他 MCP 伺服器,以及 Google Cloud MCP 伺服器適用的安全性與控管措施,請參閱 Google Cloud MCP 伺服器總覽。
事前準備
請確認您具備下列 IAM 角色。
必要的角色
如要取得使用 Network Management API MCP 伺服器所需的權限,請要求管理員在要使用 MCP 伺服器的專案中,授予下列 IAM 角色:
-
發出 MCP 工具呼叫:
MCP 工具使用者 (
roles/mcp.toolUser) -
對連線測試執行所有作業:
網路管理管理員 (
roles/networkmanagement.admin) -
取得及列出連線測試:網路管理檢視者 (
roles/networkmanagement.viewer) -
針對特定 Google Cloud 資源執行連線測試:Compute 網路檢視者 (
roles/compute.networkViewer)
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。
這些預先定義的角色具備使用 Network Management API MCP 伺服器所需的權限。如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:
所需權限
如要使用 Network Management API MCP 伺服器,必須具備下列權限:
-
發出 MCP 工具呼叫:
mcp.tools.call -
建立連線能力測試:
networkmanagement.connectivitytests.create -
取得連線測試:
networkmanagement.connectivitytests.get -
列出連線測試:
networkmanagement.connectivitytests.list -
刪除連線能力測試:
networkmanagement.connectivitytests.delete
驗證及授權
網路管理 API 遠端 MCP 伺服器會使用 OAuth 2.0 通訊協定,搭配身分與存取權管理 (IAM) 進行驗證及授權。驗證 MCP 伺服器時,系統支援所有Google Cloud 身分。Network Management API 遠端 MCP 伺服器不接受 API 金鑰。
建議您為使用 MCP 工具的代理程式建立個別身分,以便控管及監控資源存取權。如要進一步瞭解驗證,請參閱「向 MCP 伺服器驗證」。
Network Management API MCP OAuth 範圍
OAuth 2.0 會使用範圍和憑證,判斷經過驗證的主體是否有權對資源執行特定動作。如要進一步瞭解 Google 的 OAuth 2.0 範圍,請參閱「使用 OAuth 2.0 存取 Google API」。
Network Management API 使用 https://www.googleapis.com/auth/cloud-platform OAuth 範圍。
在工具呼叫期間存取的資源可能需要其他範圍。
設定 MCP 用戶端,以使用 Network Management API MCP 伺服器
AI 應用程式和代理 (例如 Claude 或 Antigravity) 可以例項化 MCP 用戶端,連線至單一 MCP 伺服器。AI 應用程式可以有多個用戶端,連線至不同的 MCP 伺服器。如果您的應用程式未列在特定用戶端指引中,則可以使用下列資訊,從大多數應用程式連線。
在 AI 應用程式中,尋找新增或連線至遠端 MCP 伺服器的方法。 如果是網路管理 API MCP 伺服器,請視需要輸入下列 資訊:
- 伺服器名稱:Network Management API MCP 伺服器
- 伺服器網址或端點:
https://networkmanagement.googleapis.com/mcp - 傳輸:HTTP
- 驗證詳細資料:視驗證方式而定,您可以輸入 Google Cloud 憑證、OAuth 用戶端 ID 和密鑰,或是代理程式身分和憑證。如要進一步瞭解驗證,請參閱「向 MCP 伺服器進行驗證」。
- OAuth 範圍:連線至 Network Management API MCP 伺服器時使用的 OAuth 2.0 範圍。輸入
https://www.googleapis.com/auth/cloud-platform。
如需設定及連線至 MCP 伺服器的應用程式專屬指引,請參閱用戶端專屬指引。
如需更多一般指引,請參閱下列資源:
可用的工具
如要查看 Network Management API MCP 伺服器的可用 MCP 工具詳細資料和說明,請參閱「Network Management API MCP 參考資料」。
列出工具
使用 MCP 檢查器列出工具,或直接將 tools/list HTTP 要求傳送至 Network Management API 遠端 MCP 伺服器。tools/list 方法不需要驗證。
POST /mcp HTTP/1.1
Host: networkmanagement.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list"
}
應用實例
以下是 Network Management API MCP 伺服器的用途範例:
- 建立連線能力測試
- 取得及列出連線能力測試
- 刪除連線能力測試
範例提示詞:
「使用 Network Management API MCP 伺服器,在通訊埠 22 上從 vm-1 執行連線能力測試到 vm-2。」
建立測試後,請按照提示查看並刪除測試資源。
如何解讀結果:
- 可連性結果:
reachabilityDetails中的REACHABLE值表示網路設定允許流量。 - 探查結果:
probingDetails中的REACHABLE值會確認端點之間傳送的有效探查是否成功。 - 追蹤記錄:查看逐一躍點的追蹤記錄,瞭解測試中包含哪些資源。
選用的安全防護設定
由於 MCP 工具可執行各種動作,因此會帶來新的安全風險和考量。為盡量減少及管理這些風險,Google Cloud 提供預設設定和可自訂的政策,控管機構或專案中 MCP 工具的使用情形。 Google Cloud
如要進一步瞭解 MCP 安全性和控管措施,請參閱這篇文章。