使用 Cloud SQL 远程 MCP 服务器

Model Context Protocol (MCP) 可标准化 AI 应用使用 MCP 服务器和工具连接到外部数据源的方式。

本文档介绍了如何使用 Cloud SQL 远程 Model Context Protocol (MCP) 服务器从 Gemini CLI、Gemini Code Assist 中的智能体模式、Claude Code 或您正在开发的 AI 应用等 AI 应用连接到 Cloud SQL for MySQL。

Cloud SQL 远程 MCP 服务器和其他 Google Cloud 远程 MCP 服务器具有以下功能和优势:

  • 简化、集中化的发现。
  • 托管式全球或区域 HTTP 端点。
  • 精细授权。
  • 借助 Model Armor 保护,可选择性地确保提示和回答的安全性。
  • 集中式审核日志记录。

远程 MCP 服务器由 Google 管理,与 Cloud SQL for MySQL MCP Toolbox for Databases 提供的本地 MCP 服务器相比,可提供额外的安全性和治理控制。如需详细了解其他远程 MCP 服务器,以及可用于 MCP 的安全性和治理控制措施,请参阅 Google Cloud MCP 服务器概览

以下部分仅适用于 Cloud SQL for MySQL 远程 MCP 服务器。

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud新手,请 创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. 安装 gcloud CLI

  5. 如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

  6. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  9. 安装 gcloud CLI

  10. 如果您使用的是外部身份提供方 (IdP),则必须先使用联合身份登录 gcloud CLI

  11. 如需初始化 gcloud CLI,请运行以下命令: 

    gcloud init

所需的角色

如需获得启用和使用 Cloud SQL 远程 MCP 服务器所需的权限,请让管理员为您授予您想要启用和使用远程 Cloud SQL MCP 服务器的项目的以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

这些预定义角色包含启用和使用 Cloud SQL 远程 MCP 服务器所需的权限。如需查看所需的确切权限,请展开所需权限部分:

所需权限

您需要具备以下权限才能启用和使用 Cloud SQL 远程 MCP 服务器:

  • serviceusage.mcppolicy.get
  • serviceusage.mcppolicy.update
  • 进行 MCP 工具调用: mcp.tools.call
  • 克隆 Cloud SQL 实例: cloudsql.instances.clone
  • 创建 Cloud SQL 实例: cloudsql.instances.create
  • 创建 Cloud SQL 用户: cloudsql.users.create
  • 在 Cloud SQL 实例上执行 SQL 查询:
    • cloudsql.instances.executeSql
    • cloudsql.instances.login
  • 获取 Cloud SQL 实例: cloudsql.instances.get
  • 获取 Cloud SQL 实例操作: cloudsql.instances.get
  • 将数据导入 Cloud SQL 实例: cloudsql.instances.import
  • 列出项目中的 Cloud SQL 实例: cloudsql.instances.list
  • 列出 Cloud SQL 用户: cloudsql.users.list
  • 更新 Cloud SQL 实例: cloudsql.instances.update
  • 更新 Cloud SQL 用户: cloudsql.users.update

您也可以使用自定义角色或其他预定义角色来获取这些权限。

启用或停用 Cloud SQL MCP 服务器

您可以使用 gcloud beta services mcp enable 命令在项目中启用 Cloud SQL MCP 服务器。

在项目中启用 Cloud SQL MCP 服务器

如需在Google Cloud 项目中启用 Cloud SQL MCP 服务器,请运行以下命令:

gcloud beta services mcp enable sqladmin.googleapis.com \
    --project=PROJECT_ID

替换以下内容:

  • PROJECT_ID: Google Cloud 项目 ID。

运行该命令后,Cloud SQL 远程 MCP 服务器即会启用。

如果没有为Google Cloud 项目启用 Cloud SQL 服务,系统会提示您先启用该服务,然后再启用 Cloud SQL 远程 MCP 服务器。

如果您使用不同的项目来存储客户端凭证(例如服务账号密钥、OAuth 客户端 ID 或 API 密钥)和托管资源,则必须在两个项目中都启用 Cloud SQL 服务和 Cloud SQL 远程 MCP 服务器。

在项目中停用 Cloud SQL MCP 服务器

如需在Google Cloud 项目中停用 Cloud SQL MCP 服务器,请运行以下命令:

gcloud beta services mcp disable sqladmin.googleapis.com \
    --project=PROJECT_ID

Cloud SQL MCP 服务器已停用,无法在 Google Cloud 项目中使用。

配置 MCP 客户端以使用 Cloud SQL MCP 服务器

Claude 或 Gemini CLI 等主机程序可以实例化连接到单个 MCP 服务器的 MCP 客户端。一个主机程序可以有多个连接到不同 MCP 服务器的客户端。如需连接到远程 MCP 服务器,MCP 客户端必须至少知道远程 MCP 服务器的网址。

请按照以下说明配置 MCP 客户端,以连接到远程 Cloud SQL MCP 服务器。

Gemini CLI

如需向 Gemini CLI 添加 Cloud SQL 远程 MCP 服务器,请将其配置为扩展程序。

  1. 在以下位置创建一个扩展程序文件: ~/.gemini/extensions/EXT_NAME/gemini-extension.json,其中 ~/ 是您的主目录,EXT_NAME 是您要为扩展程序指定的名称。

  2. 将以下内容保存在扩展程序文件中:

            {
          "name": "EXT_NAME",
          "version": "1.0.0",
          "mcpServers": {
            "Cloud SQL MCP Server": {
              "httpUrl": "https://sqladmin.googleapis.com/mcp",
              "authProviderType": "google_credentials",
              "oauth": {
                "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
              },
              "timeout": 30000,
              "headers": {
                "x-goog-user-project": "PROJECT_ID"
              }
            }
          }
        }

  3. 保存扩展程序文件。

  4. 启动 Gemini CLI:

            gemini

  5. 运行 /mcp 可查看已配置的 MCP 服务器及其工具。

    响应类似于以下示例:

            Configured MCP servers:
        🟢 Cloud SQL MCP Server (from sqladmin )
          - list_instances
          - get_instance
          - clone_instance
          - create_instance
          - update_instance
          - execute_sql
          - import_data
          - create_user
          - update_user
          - list_users
          - get_operation

远程 MCP 服务器已可在 Gemini CLI 中使用。

Claude.ai

您必须订阅 Claude Enterprise、Pro、Max 或 Team 方案,才能在 Claude.ai 中配置 Google 和 Google Cloud MCP 服务器。如需了解价格信息,请参阅 Claude 价格

如需向 Claude.ai 添加 Google 或 Google Cloud 远程 MCP 服务器,请配置具有 OAuth 客户端 ID 和 OAuth 客户端密钥的自定义连接器:

创建 OAuth 2.0 客户端 ID 和密钥

  1. 在 Google Cloud 控制台中,依次前往 Google Auth Platform > 客户端 > 创建客户端

    前往“创建客户端”

    如果您未选择项目,系统会提示您创建一个项目。

  2. 应用类型列表中,选择 Web 应用

  3. 名称字段中,为应用输入名称。

  4. 已获授权的重定向 URI 部分中,点击 + 添加 URI,然后在 URI 字段中添加 https://claude.ai/api/mcp/auth_callback

  5. 点击创建。已创建客户端。如需访问客户端 ID,请在 Google Cloud 控制台中前往 Google Auth Platform > 客户端

  6. OAuth 2.0 客户端 ID 列表中,选择客户端名称。

  7. 客户端密钥部分中,复制客户端密钥并将其保存在安全的位置。您只能复制一次。如果密钥丢失,请删除该密钥并创建一个新密钥。

在 Claude.ai 中创建自定义连接器

请按照您所用 Claude 方案的相关说明操作:

企业版和团队版

  1. 在 Claude.ai 中,依次前往管理设置 > 连接器

  2. 点击添加自定义连接器

  3. 添加自定义连接器对话框中,输入以下内容:

    • 服务器名称:服务器的人类可读名称。
    • 远程 MCP 服务器网址https://sqladmin.googleapis.com/mcp

  4. 展开高级设置菜单,然后输入以下内容:

    • OAuth 客户端 ID:您创建的 OAuth 2.0 客户端 ID。
    • OAuth 客户端密钥:OAuth 2.0 客户端的密钥。如需检索密钥,请前往 Google Auth Platform > 客户端,然后选择您创建的 OAuth 客户端 ID。在客户端密钥部分中,点击以复制客户端密钥

  5. 点击 Add(添加)。

    已创建自定义连接器。

  6. 打开工具菜单,然后启用连接器。

    Claude.ai 可以使用 MCP 服务器。

Pro 和 Max

  1. 在 Claude.ai 中,依次前往设置 > 连接器

  2. 点击添加自定义连接器

  3. 添加自定义连接器对话框中,输入以下内容:

    • 服务器名称:服务器的人类可读名称。
    • 远程 MCP 服务器网址https://sqladmin.googleapis.com/mcp

  4. 展开高级设置菜单,然后输入以下内容:

    • OAuth 客户端 ID:您创建的 OAuth 2.0 客户端 ID。
    • OAuth 客户端密钥:OAuth 2.0 客户端的密钥。如需检索密钥,请前往 Google Auth Platform > 客户端,然后选择您创建的 OAuth 客户端 ID。在客户端密钥部分中,点击以复制客户端密钥

  5. 点击 Add(添加)。

    已创建自定义连接器。

  6. 打开工具菜单,然后启用连接器。

    Claude.ai 可以使用 MCP 服务器。

ChatGPT

您必须拥有 ChatGPT Business 订阅,才能将 Google 和 Cloud SQL MCP 服务器与 ChatGPT 搭配使用。

如需向 ChatGPT 添加 Google 或 Cloud SQL 远程 MCP 服务器,请创建 Google OAuth 2.0 客户端 ID 和 Secret,然后将 MCP 服务器添加为 ChatGPT 中的应用。

创建 OAuth 2.0 客户端 ID 和密钥

  1. 在 Google Cloud 控制台中,依次前往 Google Auth Platform > 客户端 > 创建客户端

    前往“创建客户端”

    如果您未选择项目,系统会提示您创建一个项目。

  2. 应用类型列表中,选择 Web 应用

  3. 名称字段中,为应用输入名称。

  4. 已获授权的 JavaScript 来源部分中,点击 + 添加 URI,然后在 URI 字段中添加 https://chatgpt.com

  5. 已获授权的重定向 URI 部分中,点击 + 添加 URI,然后在 URI 字段中添加 https://chatgpt.com/connector_platform_oauth_redirect

  6. 点击创建。已创建客户端。如需访问客户端 ID,请在 Google Cloud 控制台中前往 Google Auth Platform > 客户端

  7. OAuth 2.0 客户端 ID 列表中,选择客户端名称。

  8. 客户端密钥部分中,复制客户端密钥并将其保存在安全的位置。您只能复制一次。如果密钥丢失,请删除该密钥并创建一个新密钥。

将 MCP 服务器添加为 ChatGPT 中的应用

  1. 登录 ChatGPT。
  2. 开启开发者模式:
    1. 在 ChatGPT 中,点击您的用户名以打开个人资料菜单,然后选择设置
    2. 在“设置”菜单中,选择应用,然后点击高级设置
    3. 高级设置中,点击开发者模式开关,将其切换到开启位置。
  3. 设置 > 应用中,点击创建应用按钮。
  4. 新应用对话框中,输入以下信息:
    • 名称:MCP 服务器的名称。
    • 说明:MCP 服务器的可选说明。
    • MCP 服务器网址https://sqladmin.googleapis.com/mcp
    • 身份验证
      • 身份验证菜单中,选择 OAuth
      • OAuth 客户端 ID 字段中,输入您的 Google OAuth 客户端 ID。
      • OAuth secret 字段中,输入您的 Google OAuth 客户端密钥。
    • 确认您了解使用 MCP 服务器的相关风险,然后点击创建

MCP 服务器会显示在应用菜单中,并且可以通过聊天提示随时使用。

MCP 客户端的一般指导

如果您的 MCP 客户端未列在配置 MCP 客户端以使用 Cloud SQL MCP 服务器中,则可以使用以下信息连接到宿主程序或 AI 应用中的远程 MCP 服务器。系统会提示您输入有关服务器的详细信息,例如其名称和网址。

对于 Cloud SQL 远程 MCP 服务器,请根据需要输入以下内容:

  • 服务器名称:Cloud SQL MCP 服务器
  • 服务器网址端点:https://sqladmin.googleapis.com/mcp
  • 传输:HTTP
  • 身份验证详细信息:您可以根据所需的身份验证方式,输入 Google Cloud 凭证、OAuth 客户端 ID 和密钥,或代理身份和凭证。

如需更一般的指导,请参阅以下资源:

身份验证和授权

Cloud SQL MCP 服务器使用 OAuth 2.0 协议和 Identity and Access Management (IAM) 进行身份验证和授权。支持所有 Google Cloud 身份用于向 MCP 服务器进行身份验证。

Cloud SQL 远程 MCP 服务器不接受 API 密钥。

我们建议使用 MCP 工具为代理创建单独的身份,以便控制和监控对资源的访问权限。如需详细了解身份验证,请参阅向 MCP 服务器进行身份验证

Cloud SQL MCP OAuth 范围

OAuth 2.0 使用范围和凭证来确定经过身份验证的主账号是否有权对资源执行特定操作。如需详细了解 Google 的 OAuth 2.0 范围,请参阅使用 OAuth 2.0 访问 Google API

Cloud SQL 具有以下 MCP 工具 OAuth 范围:

gcloud CLI 的范围 URI 说明
https://www.googleapis.com/auth/cloud-platform 创建、更新和列出 Cloud SQL 资源,包括实例和数据库用户。导入数据并在 Cloud SQL 实例上执行 SQL 查询。

在工具调用期间访问的资源可能需要额外的范围。如需查看 Cloud SQL 所需的范围列表,请参阅 Cloud SQL Admin API

可用的工具

  • clone_instance:创建 Cloud SQL 实例作为源实例的克隆。
  • create_instance:启动 Cloud SQL 实例的创建流程。
  • create_user:为 Cloud SQL 实例创建数据库用户。
  • execute_sql:在 Cloud SQL 实例上执行任何有效的 SQL 语句(DDL、DCL、DQL、DML)。
  • get_instance:获取 Cloud SQL 实例的详细信息。
  • get_operation:获取 Cloud SQL 中长时间运行的操作的状态。
  • list_instances:列出项目中的所有 Cloud SQL 实例。
  • list_users:列出 Cloud SQL 实例的所有数据库用户。
  • import_data:从 Cloud Storage 将数据导入到 Cloud SQL 实例中。
  • update_instance:更新 Cloud SQL 实例的支持设置。
  • update_user:更新 Cloud SQL 实例的数据库用户。

如需查看 Cloud SQL 远程 MCP 服务器的可用 MCP 工具的更多详细信息及其说明,请参阅 Cloud SQL MCP 参考文档

列出工具

使用 MCP 检查器列出工具,或直接向 Cloud SQL 远程 MCP 服务器发送 tools/list HTTP 请求。tools/list 方法不需要进行身份验证。

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

执行 SQL 语句

如需执行 SQL 语句,您的 Cloud SQL 实例必须满足以下要求:

如果实例未配置为 ALLOW_DATA_API,请使用 update_instance 工具更新实例的配置。

示例应用场景

以下是 Cloud SQL MCP 服务器的示例用例:

Web 应用开发

一个示例使用情形可能是快速开发 Web 应用,并预配 Cloud SQL 实例作为其源数据库。在此使用情形下,您可以使用 Cloud SQL MCP 服务器,通过自然语言为新项目构建新数据库并填充初始数据。

提示示例

"Create a new MySQL development instance and set up a table called products."

工作流程

设置 Web 应用的工作流程可能如下所示:

  • 预配:代理调用 create_instance 工具来创建具有开发环境规模规格的新 Cloud SQL 实例。

  • 验证:代理使用 get_operation 工具轮询实例创建操作的状态。

  • 连接:操作完成后,代理会使用 get_instance 工具检索实例连接元数据。

  • 架构设置:准备就绪后,代理会使用 execute_sql 运行 CREATE TABLE products SQL 语句。

  • 数据初始配置:代理再次使用 execute_sql 将初始种子数据 (DML) 插入到新创建的表中。

  • 数据植入:准备就绪后,代理会使用 import_data 从 Cloud Storage 导入产品数据文件。

使用自然语言查询数据库

您可以使用自然语言查询 Cloud SQL 数据库、更新记录和更新架构。

提示示例

"Add a `stock_count` column to the inventory table."

工作流程:使用自然语言查询数据库的工作流程可能如下所示。

  • 架构迁移:代理调用 execute_sql 来运行 ALTER TABLE 语句,从而将新的 stock_count 列添加到数据库架构中。

  • 验证:代理使用 get_instance 确认实例更新已成功完成。

提示示例

"Show me a list of shoes that are priced above $100 from the inventory table."

工作流程

  • 查询执行:代理调用 execute_sql 来运行检索数据的 SQL 语句。

限制

Cloud SQL 远程 MCP 服务器具有以下限制:

  • create_user 工具不支持创建具有密码的内置身份验证用户。
  • 如果 execute_sql 工具返回的响应大于 10 MB,则该响应将被截断。
  • 使用 execute_sql 工具时,运行时间超过 30 秒的查询可能会超时。

可选的安全配置

Google Cloud 提供与远程 MCP 服务器的 Model Armor 集成,以帮助您安全地使用 MCP 工具。如需详细了解 MCP 安全性和治理,请参阅 AI 安全性

Model Armor

Model Armor 是一项Google Cloud 服务,旨在增强 AI 应用的安全性。它通过主动筛选 LLM 提示和回答来防范各种风险,并支持 Responsible AI 实践。无论您是在云环境还是外部云服务提供商中部署 AI,Model Armor 都能帮助您防止恶意输入、验证内容安全性、保护敏感数据、保持合规性,并在各种 AI 环境中以一致的方式实施 AI 安全政策。

Model Armor 仅在特定区域位置提供。如果为项目启用了 Model Armor,并且对该项目的调用来自不受支持的区域,则 Model Armor 会进行跨区域调用。 如需了解详情,请参阅 Model Armor 位置

启用 Model Armor

您必须先启用 Model Armor API,然后才能使用 Model Armor。

控制台

  1. 启用 Model Armor API。

    启用 API 所需的角色

    如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin),该角色包含 serviceusage.services.enable 权限。了解如何授予角色

    启用 API

  2. 选择要启用 Model Armor 的项目。

gcloud

在开始之前,请使用 gcloud CLI 和 Model Armor API 按照以下步骤操作:

  1. 在 Google Cloud 控制台中,激活 Cloud Shell。

    激活 Cloud Shell

    Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动,并显示命令行提示符。Cloud Shell 是一个已安装 gcloud CLI 且已为当前项目设置值的 shell 环境。该会话可能需要几秒钟时间来完成初始化。

  2. 运行以下命令,为 Model Armor 服务设置 API 端点。

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    LOCATION 替换为您要使用 Model Armor 的区域。

为 Google 和 Google Cloud 远程 MCP 服务器配置保护

为了帮助保护您的 MCP 工具调用和响应,您可以使用 Model Armor 下限设置。下限设置用于定义适用于整个项目的最低安全过滤条件。此配置会对项目中的所有 MCP 工具调用和响应应用一组一致的过滤条件。

设置启用了 MCP 清理功能的 Model Armor 下限设置。如需了解详情,请参阅配置 Model Armor 底价设置

请参阅以下示例命令:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

请将 PROJECT_ID 替换为您的 Google Cloud 项目 ID。

请注意以下设置:

  • INSPECT_AND_BLOCK:用于检查 Google MCP 服务器的内容并屏蔽与过滤条件匹配的提示和响应的强制执行类型。
  • ENABLED:用于启用过滤或强制执行的设置。
  • MEDIUM_AND_ABOVE:Responsible AI - Dangerous 过滤设置的置信度。您可以修改此设置,但较低的值可能会导致出现更多假正例。如需了解详情,请参阅 Model Armor 置信度级别

禁止使用 Model Armor 扫描 MCP 流量

如果您想停止使用 Model Armor 扫描 Google MCP 流量,请运行以下命令:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID 替换为 Google Cloud 项目 ID。

Model Armor 不会扫描项目中的 MCP 流量。

使用 IAM 拒绝政策控制 MCP 使用情况

Identity and Access Management (IAM) 拒绝政策有助于保护 Google Cloud 远程 MCP 服务器。配置这些政策以阻止不需要的 MCP 工具访问。

例如,您可以根据以下条件拒绝或允许访问:

  • 正文
  • 工具属性(例如只读)
  • 应用的 OAuth 客户端 ID

如需了解详情,请参阅使用 Identity and Access Management 控制 MCP 的使用

后续步骤