Supervisa Spanner con el servidor del MCP de Database Insights

En este documento, se describe cómo usar el servidor remoto del Protocolo de contexto del modelo (MCP) de Database Insights para supervisar Spanner desde aplicaciones de IA, como Gemini CLI, el modo agente en Gemini Code Assist, Claude Code o en las aplicaciones de IA que estás desarrollando.

El estándar del Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o los agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.

¿Cuál es la diferencia entre los servidores de MCP locales y remotos?

Servidores de MCP locales

Por lo general, se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre servicios en el mismo dispositivo.

Servidores MCP remotos

Se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.

Servidores de MCP remotos y de Google Cloud Google

• Descubrimiento simplificado y centralizado
• Extremos HTTP administrados globales o regionales
• Autorización detallada
• Seguridad opcional de instrucciones y respuestas con la protección de Model Armor
• Registro de auditoría centralizado

Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y administración disponibles para los servidores de MCP de Google Cloud, consulta la descripción general de los servidores de MCP de Google Cloud.

Antes de comenzar

Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Spanner, Database Insights APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Spanner, Database Insights APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Roles obligatorios

Para obtener los permisos que necesitas para usar el servidor de MCP de Database Insights, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que deseas usar el servidor de MCP de Database Insights:

• Realiza llamadas a la herramienta de MCP: Usuario de la herramienta de MCP (roles/mcp.toolUser)
• Ver datos de Cloud Monitoring: Visualizador de Monitoring (roles/monitoring.viewer)
• Ver datos de Database Insights: Visualizador de Database Insights (roles/databaseinsights.viewer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar el servidor de MCP de Database Insights. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Autenticación y autorización

El servidor MCP remoto de Spanner usa el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

El servidor de MCP remoto de Database Insights no acepta claves de API.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.

Permisos de OAuth de MCP de Database Insights

Database Insights tiene los siguientes permisos de OAuth de la herramienta de MCP:

Es posible que se requieran alcances adicionales en los recursos a los que se accede durante una llamada a la herramienta.

Configura un cliente de MCP para que use el servidor de MCP de Database Insights

Las aplicaciones y los agentes de IA, como Claude o Gemini CLI, pueden crear instancias de un cliente de MCP que se conecta a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conectan a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer la URL del servidor de MCP remoto.

En tu aplicación de IA, busca una forma de conectarte a un servidor de MCP remoto. Se te pedirá que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP de Database Insights, ingresa lo siguiente según sea necesario:

• Nombre del servidor: Servidor de MCP de Database Insights
• URL del servidor o Extremo: https://databaseinsights.googleapis.com/mcp
• Transporte: HTTP
• Detalles de autenticación: Según cómo desees autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de MCP.
• Permiso de OAuth: Es el permiso de OAuth 2.0 que deseas usar cuando te conectes al servidor de MCP de Database Insights.

Para obtener orientación específica del host sobre cómo configurar y conectarse al servidor de MCP, consulta lo siguiente:

• Claude.ai
• CLI de Gemini

Para obtener orientación más general, consulta los siguientes recursos:

• Conéctate a servidores de MCP remotos.
• Configura el MCP en una aplicación de IA.

Herramientas disponibles

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Database Insights, consulta la referencia de MCP de Database Insights.

Herramientas de lista

Usa el inspector de MCP para enumerar herramientas o envía una solicitud HTTP tools/list directamente al servidor de MCP remoto de Database Insights. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: databaseinsights.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

A continuación, se incluyen ejemplos de casos de uso para supervisar Spanner con el servidor de MCP de Database Insights.

Verificación de estado del sistema

Puedes supervisar el uso de recursos de tus instancias de Spanner para asegurarte de que tengan el tamaño correcto y que funcionen de manera óptima.

Instrucción de ejemplo:

"¿Cuál ha sido el uso promedio de CPU y la memoria disponible para mi instancia de Spanner INSTANCE_ID en las últimas 24 horas?"

Flujo de trabajo: El flujo de trabajo para una verificación de estado del sistema incluye los siguientes pasos:

• Recuperación de métricas: El agente usa la herramienta get_system_metrics para recuperar spanner.googleapis.com/instance/cpu/utilization para la instancia especificada.

• Resumen: El agente agrega los datos durante las 24 horas.

• Informes: El agente proporciona un resumen de las tendencias de CPU y memoria, y te alerta si la utilización alcanzó su punto máximo cerca de los límites.

Configuraciones opcionales de seguridad

La MCP introduce nuevos riesgos y consideraciones de seguridad debido a la amplia variedad de acciones que puedes realizar con las herramientas de MCP. Para minimizar y administrar estos riesgos,Google Cloud ofrece parámetros de configuración predeterminados y políticas personalizables para controlar el uso de las herramientas de MCP en tu organización o proyecto de Google Cloud.

Para obtener más información sobre la seguridad y la administración de la MCP, consulta Seguridad y protección de la IA.

Usa Model Armor

Model Armor es unGoogle Cloud servicio diseñado para mejorar la seguridad de tus aplicaciones de IA. Funciona analizando de forma proactiva las instrucciones y respuestas de los LLM, protegiendo contra diversos riesgos y respaldando prácticas de IA responsable. Ya sea que implementes IA en tu entorno de nube o en proveedores externos, Model Armor puede ayudarte a evitar entradas maliciosas, verificar la seguridad del contenido, proteger los datos sensibles, mantener el cumplimiento y aplicar tus políticas de seguridad de la IA de manera coherente en todo tu diverso panorama de IA.

Cuando Model Armor está habilitado con el registro habilitado, registra toda la carga útil. Esto podría exponer información sensible en tus registros.

Habilita Model Armor

Para poder usar las APIs de Model Armor, debes habilitarlas.

Configura la protección para los servidores de MCP remotos y de Google Cloud Google

Para proteger las llamadas y respuestas de las herramientas de MCP, puedes usar la configuración mínima de Model Armor. Un parámetro de configuración mínimo define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de las herramientas de MCP dentro del proyecto.

Configura un ajuste mínimo de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Configura la configuración mínima de Model Armor.

Consulta el siguiente comando de ejemplo:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud .

Ten en cuenta los siguientes parámetros de configuración:

• INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y las respuestas que coinciden con los filtros.
• ENABLED: Es el parámetro de configuración que habilita un filtro o la aplicación.
• MEDIUM_AND_ABOVE: Es el nivel de confianza para la configuración del filtro de IA responsable: Peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Niveles de confianza de Model Armor.

Inhabilita el análisis del tráfico de MCP con Model Armor

Para evitar que Model Armor analice automáticamente el tráfico hacia y desde los servidores de MCP de Google según la configuración mínima del proyecto, ejecuta el siguiente comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Reemplaza PROJECT_ID por el ID del proyecto Google Cloud . Model Armor no aplica automáticamente las reglas definidas en la configuración mínima de este proyecto al tráfico de ningún servidor de MCP de Google.

La configuración general y de configuración mínima de Model Armor puede afectar a más que solo al MCP. Dado que Model Armor se integra con servicios como Agent Platform, cualquier cambio que realices en la configuración mínima puede afectar el análisis del tráfico y los comportamientos de seguridad en todos los servicios integrados, no solo en el MCP.

Controla el uso del MCP con políticas de IAM de rechazo

Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger los Google Cloud servidores MCP remotos. Configura estas políticas para bloquear el acceso no deseado a las herramientas de MCP.

Por ejemplo, puedes rechazar o permitir el acceso según lo siguiente:

• La entidad principal
• Propiedades de la herramienta, como solo lectura
• ID de cliente de OAuth de la aplicación

Para obtener más información, consulta Controla el uso de MCP con Identity and Access Management.

¿Qué sigue?

• Lee la documentación de referencia de MCP de Estadísticas de la base de datos.
• Obtén más información sobre los servidores de MCP de Google Cloud.