Menggunakan server MCP jarak jauh Cloud Run

Server MCP jarak jauh Cloud Run diaktifkan saat Anda mengaktifkan Cloud Run Admin API.

Model Context Protocol (MCP) menstandardisasi cara model bahasa besar (LLM) dan aplikasi atau agen AI terhubung ke sumber data eksternal. Server MCP memungkinkan Anda menggunakan alat, resource, dan perintahnya untuk melakukan tindakan dan mendapatkan data terbaru dari layanan backend-nya.

Apa perbedaan antara server MCP lokal dan jarak jauh?

Server MCP lokal

Biasanya berjalan di komputer lokal Anda dan menggunakan input dan output stream standar (stdio) untuk komunikasi antar-layanan di perangkat yang sama.

Server MCP jarak jauh

Berjalan di infrastruktur layanan dan menawarkan endpoint HTTP ke aplikasi AI untuk komunikasi antara klien MCP AI dan server MCP. Untuk mengetahui informasi selengkapnya tentang arsitektur MCP, lihat Arsitektur MCP.

Untuk mengetahui informasi tentang server MCP lokal Cloud Run, lihat Server MCP Cloud Run di GitHub.

Server MCP jarak jauh dan Google Cloud Google

• Penemuan yang disederhanakan dan terpusat.
• Mengelola endpoint HTTP global atau regional.
• Otorisasi terperinci.
• Keamanan perintah dan respons opsional dengan perlindungan Model Armor.
• Logging audit terpusat.

Untuk mengetahui informasi tentang server MCP lainnya dan informasi tentang kontrol keamanan dan tata kelola yang tersedia untuk server MCP Google Cloud, lihat Ringkasan server MCP Google Cloud.

Anda mungkin ingin menggunakan server MCP lokal Cloud Run karena alasan berikut:

• Pengembangan dan pengujian lokal
• Penggunaan MCP offline

Sebelum memulai

Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

1. Mengaktifkan Cloud Run API.

   Peran yang diperlukan untuk mengaktifkan API

   Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

   Mengaktifkan API

2. Instal dan lakukan inisialisasi gcloud CLI.
3. Perbarui komponen:

   gcloud components update

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk menggunakan server MCP Cloud Run, minta administrator Anda untuk memberi Anda peran IAM berikut pada project tempat Anda ingin menggunakan server MCP Cloud Run:

• Buat layanan Cloud Run: Cloud Run Developer (roles/run.developer)
• Menjalankan operasi sebagai akun layanan: Pengguna Akun Layanan (roles/iam.serviceAccountUser)
• Akses repositori Artifact Registry dari image container yang di-deploy: Pembaca Artifact Registry (roles/artifactregistry.reader)
• Gunakan akun layanan lintas project untuk men-deploy layanan: Service Account Token Creator (roles/iam.serviceAccountTokenCreator)
• Lakukan panggilan alat MCP: Pengguna Alat MCP (roles/mcp.toolUser)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk menggunakan server MCP Cloud Run. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Untuk mengetahui daftar peran dan izin IAM yang terkait dengan Cloud Run, lihat Peran IAM Cloud Run dan Izin IAM Cloud Run. Jika layanan Cloud Run Anda berinteraksi dengan Google Cloud API, seperti Library Klien Cloud, lihat panduan konfigurasi identitas layanan. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat izin deployment dan mengelola akses.

Autentikasi dan otorisasi

Server MCP jarak jauh Cloud Run menggunakan protokol OAuth 2.0 dengan Identity and Access Management (IAM) untuk autentikasi dan otorisasi. Semua Google Cloud identitas didukung untuk autentikasi ke server MCP.

Server MCP jarak jauh Cloud Run tidak menerima kunci API.

Sebaiknya Anda membuat identitas terpisah untuk agen yang menggunakan alat MCP agar akses ke resource dapat dikontrol dan dipantau. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

Cakupan OAuth MCP Cloud Run

OAuth 2.0 menggunakan cakupan dan kredensial untuk menentukan apakah akun utama terautentikasi diizinkan untuk melakukan tindakan tertentu pada resource. Untuk mengetahui informasi selengkapnya tentang cakupan OAuth 2.0 di Google, baca Menggunakan OAuth 2.0 untuk mengakses Google API.

Cloud Run memiliki cakupan OAuth alat MCP berikut:

Cakupan tambahan mungkin diperlukan pada resource yang diakses selama panggilan alat. Untuk melihat daftar cakupan yang diperlukan untuk Cloud Run, lihat Cloud Run Admin API.

Mengonfigurasi klien MCP untuk menggunakan server MCP Cloud Run

Aplikasi dan agen AI, seperti Claude atau Gemini CLI, dapat membuat instance klien MCP yang terhubung ke satu server MCP. Aplikasi AI dapat memiliki beberapa klien yang terhubung ke server MCP yang berbeda. Untuk terhubung ke server MCP jarak jauh, klien MCP harus mengetahui URL server MCP jarak jauh.

Di aplikasi AI Anda, cari cara untuk terhubung ke server MCP jarak jauh. Anda akan diminta untuk memasukkan detail tentang server, seperti nama dan URL-nya.

Untuk server MCP Cloud Run, masukkan hal berikut sesuai kebutuhan:

• Nama server: Server MCP Cloud Run
• URL Server atau Endpoint: https://run.googleapis.com/mcp atau https://run.REGION.rep.googleapis.com/mcp (Pratinjau)
• Transportasi: HTTP
• Detail autentikasi: Bergantung pada cara autentikasi yang Anda inginkan, Anda dapat memasukkan Google Cloud kredensial, ID Klien OAuth dan rahasia, atau identitas dan kredensial agen. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

Untuk panduan khusus host tentang cara menyiapkan dan menghubungkan ke server MCP, lihat artikel berikut:

• Claude.ai
• Gemini CLI
• ChatGPT

Untuk panduan umum lainnya, lihat referensi berikut:

• Menghubungkan ke server MCP jarak jauh.
• Mengonfigurasi MCP di aplikasi AI.

Alat yang tersedia

Untuk melihat detail alat MCP yang tersedia dan deskripsinya untuk server MCP Cloud Run, lihat referensi MCP Cloud Run.

Contoh kasus penggunaan

Berikut adalah contoh kasus penggunaan untuk server MCP Cloud Run:

• Mengizinkan agen men-deploy layanan Cloud Run ke project.

• Izinkan agen men-deploy aplikasi berkode getaran di Cloud Run dari kode sumber atau file zip.

• Dapatkan daftar layanan Cloud Run dan detail layanan menurut nama, project, dan region.

• Deploy layanan web Cloud Run publik atau pribadi dari image Docker bawaan dari Artifact Registry atau Docker Hub dengan serangkaian variabel lingkungan tertentu ke project dan region.

Contoh perintah

Anda dapat menggunakan contoh perintah berikut untuk mendapatkan informasi tentang layanan Cloud Run dan menganalisis log layanan Cloud Run:

• "Deploy layanan Cloud Run pribadi bernama SERVICE_NAME dari image Docker us-docker.pkg.dev/cloudrun/container/hello ke project PROJECT_ID."
• "Mencantumkan layanan dalam project PROJECT_ID."
• "Temukan detail layanan yang saya deploy di project PROJECT_ID menggunakan server MCP di region REGION."

Dalam perintah, ganti kode berikut:

• SERVICE_NAME: nama layanan Cloud Run
• PROJECT_ID: Google Cloud project ID
• REGION: nama region

Menggunakan perintah /deploy

Anda dapat menggunakan perintah /deploy untuk men-deploy layanan Cloud Run dengan cepat menggunakan server MCP Cloud Run. Anda mungkin perlu membuka menu chatbot untuk menemukan alat atau perintah yang diperlukan.

• Untuk men-deploy direktori kerja saat ini ke Cloud Run, jalankan perintah /deploy berikut:

  /deploy SERVICE_NAME \
    --project PROJECT_ID \
    --region REGION \
  

  Ganti kode berikut:

  • SERVICE_NAME: nama layanan Cloud Run
  • PROJECT_ID: Google Cloud project ID
  • REGION: nama region

Konfigurasi keamanan dan keselamatan opsional

MCP memperkenalkan risiko dan pertimbangan keamanan baru karena berbagai tindakan yang dapat Anda lakukan dengan alat MCP. Untuk meminimalkan dan mengelola risiko ini,Google Cloud menawarkan setelan default dan kebijakan yang dapat disesuaikan untuk mengontrol penggunaan alat MCP di organisasi atau project Google CloudAnda.

Untuk mengetahui informasi selengkapnya tentang keamanan dan tata kelola MCP, lihat Keamanan dan keselamatan AI

Menggunakan Model Armor

Model Armor adalah layanan Google Cloud yang dirancang untuk meningkatkan keamanan dan keselamatan aplikasi AI Anda. Model Armor bekerja dengan menyaring perintah dan respons LLM secara proaktif, melindungi dari berbagai risiko, dan mendukung praktik AI yang bertanggung jawab. Baik Anda men-deploy AI di lingkungan cloud Anda, atau di penyedia cloud eksternal, Model Armor dapat membantu Anda mencegah input berbahaya, memverifikasi keamanan konten, melindungi data sensitif, menjaga kepatuhan, dan menerapkan kebijakan keamanan dan keselamatan AI Anda secara konsisten di seluruh lanskap AI Anda yang beragam.

Model Armor hanya tersedia di lokasi regional tertentu. Jika Model Armor diaktifkan untuk project, dan panggilan ke project tersebut berasal dari region yang tidak didukung, Model Armor akan melakukan panggilan lintas region. Untuk mengetahui informasi selengkapnya, lihat Lokasi Model Armor.

Mengaktifkan Model Armor

Anda harus mengaktifkan Model Armor API sebelum dapat menggunakan Model Armor.

Mengonfigurasi perlindungan untuk server MCP jarak jauh dan Google Cloud Google

Untuk membantu melindungi panggilan dan respons alat MCP, Anda dapat menggunakan setelan batas bawah Model Armor. Setelan minimum menentukan filter keamanan minimum yang berlaku di seluruh project. Konfigurasi ini menerapkan serangkaian filter yang konsisten ke semua panggilan dan respons alat MCP dalam project.

Siapkan setelan minimum Model Armor dengan pengamanan MCP diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan batas bawah Model Armor.

Lihat contoh perintah berikut:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ganti PROJECT_ID dengan project ID Google Cloud Anda.

Perhatikan setelan berikut:

• INSPECT_AND_BLOCK: Jenis penegakan yang memeriksa konten untuk server MCP Google dan memblokir perintah dan respons yang cocok dengan filter.
• ENABLED: Setelan yang mengaktifkan filter atau penerapan.
• MEDIUM_AND_ABOVE: Tingkat keyakinan untuk setelan filter Responsible AI - Berbahaya. Anda dapat mengubah setelan ini, meskipun nilai yang lebih rendah dapat menghasilkan lebih banyak positif palsu. Untuk mengetahui informasi selengkapnya, lihat Tingkat keyakinan Model Armor.

Menonaktifkan pemindaian traffic MCP dengan Model Armor

Jika Anda ingin berhenti memindai traffic MCP Google dengan Model Armor, jalankan perintah berikut:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ganti PROJECT_ID dengan ID project Google Cloud .

Model Armor tidak akan memindai traffic MCP dalam project.

Mengontrol penggunaan MCP dengan kebijakan penolakan IAM

Kebijakan penolakan Identity and Access Management (IAM) membantu Anda mengamankan server MCP jarak jauh Google Cloud . Konfigurasi kebijakan ini untuk memblokir akses alat MCP yang tidak diinginkan.

Misalnya, Anda dapat menolak atau mengizinkan akses berdasarkan:

• Kepala sekolah
• Properti alat seperti hanya baca
• Client ID OAuth aplikasi

Untuk mengetahui informasi selengkapnya, lihat Mengontrol penggunaan MCP dengan Identity and Access Management.

Langkah berikutnya

• Baca dokumentasi referensi MCP Cloud Run.
• Pelajari lebih lanjut server MCP Google Cloud.