שימוש בשרת MCP מרוחק של Resource Manager

במאמר הזה מוסבר איך להשתמש בשרת Model Context Protocol‏ (MCP) מרוחק של Resource Manager כדי להתחבר לאפליקציות מבוססות-AI, כולל Gemini CLI, ‏ ChatGPT, ‏ Claude ואפליקציות בהתאמה אישית שאתם מפתחים. שרת ה-MCP המרוחק של Resource Manager מאפשר לכם לחפש ולזהות את כל הפרויקטים שיש לכם הרשאות גישה אליהם, כדי לוודא שיש לכם את המזהים הנכונים לפני שתנסו לבצע הגדרות ספציפיות יותר של משאבים. Google Cloud

הכלי מחזיר רשימה מובנית שמכילה את מזהה הפרויקט, מספר הפרויקט ומצב מחזור החיים של הפרויקט. שרת ה-MCP המרוחק של Resource Manager מופעל כשמפעילים את Resource Manager API.

Model Context Protocol‏ (MCP) הוא תקן שקובע איך מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

מה ההבדל בין שרתי MCP מקומיים לבין שרתי MCP מרחוק?

שרתי MCP מקומיים
בדרך כלל פועלים במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר.
שרתי MCP מרוחקים
פועל בתשתית של השירות ומציע נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-MCP של ה-AI לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת MCP זמין במאמר ארכיטקטורת MCP.

‫Google ושרתי MCP מרוחקים Google Cloud

לשרתי MCP מרוחקים ולשרתי MCP של Google יש את התכונות והיתרונות הבאים: Google Cloud

  • גילוי פשוט ומרכזי
  • נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
  • הרשאות פרטניות
  • אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
  • רישום מרכזי ביומן הביקורת

מידע על שרתים אחרים של MCP ועל אמצעי בקרה בנושאי אבטחה וממשל שזמינים לשרתים של Google Cloud MCP מופיע במאמר סקירה כללית על שרתים של Google Cloud MCP.

לפני שמתחילים

    נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

    gcloud init

    אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

    If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

    Verify that billing is enabled for your Google Cloud project.

    Enable the Cloud Resource Manager API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    התקינו את ה-CLI של Google Cloud. אחר כך, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

    gcloud init

    אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

אימות והרשאה

שרת ה-MCP המרוחק של Resource Manager משתמש בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולמתן הרשאות. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

שרתי MCP של מנהל המשאבים משתמשים בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולמתן הרשאות. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

שרת ה-MCP של מנהל המשאבים לא מקבל מפתחות API לצורך אימות.

אנחנו ממליצים ליצור זהות נפרדת לסוכנים באמצעות כלי MCP, כדי שיהיה אפשר לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

היקפי הרשאות OAuth של מנהל המשאבים MCP

ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת מסוים יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.

למנהל המשאבים יש את היקפי ההרשאות הבאים של OAuth בכלי MCP:

URI של היקף ל-CLI של gcloud תיאור
https://www.googleapis.com/auth/cloudresourcemanager.read-only היקף ההרשאות הזה מאפשר גישה רק לקריאת נתונים.
https://www.googleapis.com/auth/cloudresourcemanager.read-write היקף ההרשאות הזה מאפשר לקרוא ולשנות נתונים.

יכול להיות שיידרשו היקפי הרשאות נוספים במשאבים שאליהם ניגשים במהלך הפעלת כלי. כדי לראות רשימה של היקפי ההרשאות שנדרשים ל-מנהל המשאבים, אפשר לעיין במאמר בנושא Resource Manager API.

הגדרת לקוח MCP לשימוש בשרת MCP של מנהל המשאבים

אפליקציות וסוכנים מבוססי-AI, כמו Claude או Antigravity, יכולים ליצור מופע של לקוח MCP שמתחבר לשרת MCP יחיד. לאפליקציית AI יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. אם האפליקציה שלכם לא מופיעה בהנחיות הספציפיות ללקוח, תוכלו להשתמש במידע הבא כדי להתחבר מרוב האפליקציות.

באפליקציית ה-AI, מחפשים דרך להוסיף או להתחבר לשרת MCP מרוחק. עבור שרת ה-MCP של מנהל המשאבים, מזינים את הפרטים הבאים לפי הצורך:

  • שם השרת: שרת ה-MCP של מנהל המשאבים
  • כתובת URL של השרת או נקודת קצה: https://cloudresourcemanager.googleapis.com/mcp
  • Transport: HTTP
  • פרטי אימות: בהתאם לשיטת האימות שבה רוצים להשתמש, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של סוכן. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.
  • היקף הרשאות OAuth: היקף הרשאות OAuth 2.0 שבו רוצים להשתמש כשמתחברים לשרת ה-MCP של מנהל המשאבים.

הנחיות ספציפיות לאפליקציות לגבי הגדרה וחיבור לשרת MCP מפורטות במאמר הנחיות ספציפיות ללקוחות.

הנחיות כלליות נוספות זמינות במקורות המידע הבאים:

כלים זמינים

כדי לראות פרטים על כלי MCP זמינים והתיאורים שלהם בשרת ה-MCP של Resource Manager, אפשר לעיין בהפניה ל-MCP של Resource Manager.

כלים ליצירת רשימות

אפשר להשתמש בכלי לבדיקת MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP‏ tools/list ישירות לשרת ה-MCP המרוחק של Resource Manager. בשיטה tools/list לא נדרש אימות.

POST /mcp HTTP/1.1
Host: cloudresourcemanager.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

תרחישים לדוגמה

הכלי search_projects בשרת ה-MCP המרוחק של Resource Manager מאפשר לסוכני AI לגלות ולזהות באופן דינמי את כל הפרויקטים ב- Google Cloud שיש לכם את ההרשאות הנדרשות לגשת אליהם, כדי שהם יוכלו להריץ פקודות בכלים אחרים.

הכלי מחזיר רשימה מובנית שמכילה את מזהה הפרויקט, מספר הפרויקט ומצב מחזור החיים של הפרויקט. הנה כמה תרחישי שימוש לדוגמה עבור מנהל המשאבים בשרת MCP:

  • מלאי משאבים וביקורות נגישות: רשימה וסיכום של פרויקטים פעילים בענן שיש לכם גישה אליהם.

    הנחיית משתמש: "תציג לי רשימה של כל הפרויקטים הפעילים שלי Google Cloud ".

    פעולה של הסוכן: הסוכן שולח שאילתת חיפוש לשרת ה-MCP כדי לאחזר ולהציג רשימה מסוכמת של כל הפרויקטים הפעילים שמשויכים לפרטי הכניסה שלכם.

  • חיפושים ממוקדים שמבוססים על הורה: אחזור פרויקטים שנמצאים בתיקייה או בארגון ספציפיים כדי לצמצם את היקף הבקשה.

    הנחיית משתמש: "תמצא את כל הפרויקטים בתיקייה 223".

    פעולת הסוכן: הסוכן מבצע קריאה לכלי עם השאילתה parent:folders/223 כדי להחזיר רשימה של פרויקטים בגבול האדמיניסטרטיבי הזה.

  • פתרון מרומז של הקשר: כשמבקשים מידע על משאב בלי לציין מזהה פרויקט ספציפי, הסוכן יכול לפתור את הקשר באופן אוטומטי.

    הנחיית משתמש: "בדוק את הסטטוס של השירות 'payment-processor'".

    פעולה של נציג: הנציג מזהה שחסר project_id בכלי Cloud Run. הוא משתמש בכלי search_projects כדי למצוא פרויקטים עם payment בשם, מזהה פרויקטים סבירים (כמו payment-prod-123) ומבקש אישור לפני שממשיך.

  • גילוי ספציפי לסביבה: אתם יכולים למצוא פרויקטים שסוננו לפי סביבות ספציפיות או מבנים ארגוניים ספציפיים בלי לצאת מממשק הצ'אט.

    הנחיית משתמש: "לאילו פרויקטים יש לי גישה בסביבת הבדיקה?"

    פעולת הסוכן: הסוכן מבצע פעולת חיפוש של כל הפרויקטים שסומנו או נקראו staging שיש לכם הרשאה לצפות בהם, ומחזיר את מזהי הפרויקטים הספציפיים.

התאמה אישית של התנהגות מודל שפה גדול

הכלי search_projects הוא רב-תכליתי, אבל יכול להיות שמודלים של שפה גדולה לא תמיד ידעו מתי לשלוח שאילתה להיררכיה שלכם. Google Cloud כדי להפעיל את הכלי בתרחישים ספציפיים, צריך לספק הקשר מותאם אישית בקובץ Markdown, למשל ~/.gemini/GEMINI.md או AGENTS.md ברמת הפרויקט.

שליטה בשימוש ב-MCP באמצעות כללי מדיניות דחייה ב-IAM

כללי מדיניות הדחייה של ניהול זהויות והרשאות גישה (IAM) עוזרים לכם לאבטח שרתי MCP מרוחקים של Google Cloud . כדאי להגדיר את המדיניות הזו כדי לחסום גישה לא רצויה לכלי MCP.

לדוגמה, אתם יכולים לדחות או לאשר גישה על סמך:

  • הקרן
  • מאפייני כלי כמו קריאה בלבד
  • מזהה הלקוח ב-OAuth של האפליקציה

מידע נוסף זמין במאמר שליטה בשימוש ב-MCP באמצעות ניהול זהויות וגישה.

המאמרים הבאים