Cloud SQL for MySQL mit dem Database Insights MCP-Server überwachen

Mit dem Remote-MCP-Server für Database Insights können Sie Cloud SQL for MySQL-Cluster und -Instanzen aus Ihren KI-gestützten Entwicklungsumgebungen und KI-Agent-Plattformen überwachen, indem Sie Abfrage- und Systemmesswerte abrufen.

In diesem Dokument wird beschrieben, wie Sie den Remote-MCP-Server (Model Context Protocol) für Database Insights verwenden, um Cloud SQL for MySQL aus KI-Anwendungen wie der Gemini CLI, dem Agentenmodus in Gemini Code Assist, Claude Code oder in KI-Anwendungen, die Sie entwickeln, zu überwachen.

Das Model Context Protocol (MCP) standardisiert die Verbindung von Large Language Models (LLMs) und KI-Anwendungen oder ‑Agents mit externen Datenquellen. Mit MCP-Servern können Sie die zugehörigen Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten vom Backend-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server

werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standard-Ein- und Ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.

Remote-MCP-Server

Auf der Infrastruktur des Dienstes ausgeführt und bietet einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Google- und Google Cloud Remote-MCP-Server

Google- und Google Cloud Remote-MCP-Server bieten folgende Funktionen und Vorteile:

• Vereinfachte, zentrale Ermittlung.
• Verwaltete globale oder regionale HTTP-Endpunkte.
• Detaillierte Autorisierung.
• Optionale Sicherheit für Prompts und Antworten mit Model Armor-Schutz.
• Zentralisiertes Audit-Logging.

Informationen zu anderen MCP-Servern sowie zu den für Google Cloud MCP-Server verfügbaren Sicherheits- und Governance-Kontrollen finden Sie unter Google Cloud MCP-Server – Übersicht.

Hinweis

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Cloud SQL, Database Insights APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installieren Sie die gcloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Cloud SQL, Database Insights APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Installieren Sie die gcloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem Sie den Database Insights MCP-Server verwenden möchten, um die Berechtigungen zu erhalten, die Sie zur Verwendung des Database Insights MCP-Servers benötigen:

• MCP-Tool-Aufrufe ausführen: MCP Tool User (roles/mcp.toolUser)
• Cloud Monitoring-Daten ansehen: Monitoring-Betrachter (roles/monitoring.viewer)
• Database Insights-Daten ansehen: Database Insights Viewer (roles/databaseinsights.viewer)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Verwenden des Database Insights MCP-Servers erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Authentifizierung und Autorisierung

Der Remote-MCP-Server für Cloud SQL for MySQL verwendet das OAuth 2.0-Protokoll mit Identity and Access Management (IAM) für die Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server von Database Insights akzeptiert keine API-Schlüssel.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.

OAuth-Bereiche für Database Insights MCP

Für Database Insights sind die folgenden OAuth-Bereiche für MCP-Tools erforderlich:

Möglicherweise sind zusätzliche Bereiche für die Ressourcen erforderlich, auf die während eines Tool-Aufrufs zugegriffen wird.

MCP-Client für die Verwendung des Database Insights-MCP-Servers konfigurieren

KI-Anwendungen und ‑Agents wie Claude oder die Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Damit eine Verbindung zu einem Remote-MCP-Server hergestellt werden kann, muss der MCP-Client die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den Database Insights MCP-Server Folgendes ein:

• Servername: Database Insights-MCP-Server
• Server-URL oder Endpunkt: https://databaseinsights.googleapis.com/mcp
• Transport: HTTP
• Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agent-Identität und ‑Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei MCP-Servern.
• OAuth-Bereich: der OAuth 2.0-Bereich, den Sie beim Herstellen einer Verbindung zum Database Insights MCP-Server verwenden möchten.

Hostspezifische Anleitungen zum Einrichten und Verbinden mit dem MCP-Server finden Sie hier:

• Claude.ai
• Gemini CLI

Allgemeine Informationen finden Sie in den folgenden Ressourcen:

• Verbindung mit Remote-MCP-Servern herstellen
• MCP in einer KI-Anwendung konfigurieren

Verfügbare Tools

Details zu den verfügbaren MCP-Tools und deren Beschreibungen für den Database Insights-MCP-Server finden Sie in der Database Insights-MCP-Referenz.

Tools für Listen

Verwenden Sie den MCP-Prüftool, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server von Database Insights. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: databaseinsights.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Im Folgenden finden Sie einige Anwendungsfälle für die Überwachung von Cloud SQL for MySQL mit dem Database Insights MCP-Server.

Abfrageleistung überwachen

Mit dem Database Insights MCP-Server können Sie langsame Abfragen ermitteln und Datenbankarbeitslastmuster nachvollziehen.

Beispielprompt:

„Finde die fünf Abfragen mit der längsten Ausführungszeit in meiner Cloud SQL for MySQL-Instanz im Projekt PROJECT_ID in der letzten Stunde.“

Workflow:Der Workflow für das Monitoring der Abfrageleistung umfasst die folgenden Schritte:

• Daten abrufen: Der Agent ruft das Tool get_query_metrics mit einer PromQL-Abfrage auf, die so konfiguriert ist, dass cloudsql.googleapis.com/database/mysql/insights/aggregate/execution_time abgerufen wird.

• Analyse: Der KI-Agent verarbeitet die zurückgegebenen Zeitachsendaten, um die Abfragen mit der höchsten kumulierten Ausführungszeit zu ermitteln.

• Berichterstellung: Der Agent listet die Abfrage-Hashes und die entsprechenden Ausführungszeiten auf, damit Sie potenzielle Engpässe erkennen können.

Systemdiagnose

Sie können die Ressourcennutzung Ihrer Cloud SQL for MySQL-Instanzen überwachen, um sicherzustellen, dass sie richtig dimensioniert sind und optimal funktionieren.

Beispiel-Prompt:

„Wie hoch war die durchschnittliche CPU-Auslastung und der verfügbare Arbeitsspeicher für meine Cloud SQL for MySQL-Instanz INSTANCE_ID in den letzten 24 Stunden?“

Workflow: Der Workflow für eine Systemzustandsprüfung umfasst die folgenden Schritte:

• Abrufen von Messwerten: Der Agent verwendet das Tool get_system_metrics, um cloudsql.googleapis.com/database/cpu/utilization für die angegebene Instanz abzurufen.

• Zusammenfassung: Der Agent fasst die Daten über den 24-Stunden-Zeitraum zusammen.

• Berichterstellung: Der Agent fasst die CPU- und Arbeitsspeichertrends zusammen und benachrichtigt Sie, wenn die Auslastung in der Nähe der Grenzwerte ihren Höhepunkt erreicht hat.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da mit den MCP-Tools eine Vielzahl von Aktionen ausgeführt werden kann. Um diese Risiken zu minimieren und zu verwalten, bietetGoogle Cloud Standardeinstellungen und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud-Organisation oder Ihrem Google Cloud-Projekt steuern können.

Weitere Informationen zur Sicherheit und Governance von MCP finden Sie unter KI-Sicherheit.

Model Armor verwenden

Model Armor ist einGoogle Cloud -Dienst, der die Sicherheit Ihrer KI-Anwendungen verbessern soll. Das System überwacht und kontrolliert sowohl die Prompts als auch die Antworten des LLM, um Sie vor verschiedenen Risiken zu schützen und für verantwortungsbewusste Anwendung von KI zu sorgen. Unabhängig davon, ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen, kann Model Armor Ihnen helfen, schädliche Eingaben zu verhindern, die Sicherheit von Inhalten zu überprüfen, sensible Daten zu schützen, die Compliance aufrechtzuerhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchzusetzen.

Wenn Model Armor mit aktiviertem Logging aktiviert ist, protokolliert Model Armor die gesamte Nutzlast. Dadurch können vertrauliche Informationen in Ihren Logs offengelegt werden.

Model Armor aktivieren

Sie müssen Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Mit den Mindesteinstellungen für Model Armor können Sie Ihre MCP-Toolaufrufe und ‑Antworten schützen. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Tool-Aufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Model Armor-Mindesteinstellung mit aktivierter Bereinigung von Inhalten mit sexueller Ausbeutung von Kindern ein. Weitere Informationen finden Sie unter Model Armor-Untergrenzeneinstellungen konfigurieren.

Hier ein Beispielbefehl:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie dabei PROJECT_ID durch die ID Ihres Projekts in Google Cloud .

Beachten Sie die folgenden Einstellungen:

• INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
• ENABLED: Die Einstellung, die einen Filter oder die Erzwingung ermöglicht.
• MEDIUM_AND_ABOVE: Das Konfidenzniveau für die Filter für verantwortungsbewusste KI – gefährlich. Sie können diese Einstellung ändern. Niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Vertrauenswürdigkeitsstufen für Model Armor.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie verhindern möchten, dass Model Armor den Traffic zu und von Google MCP-Servern basierend auf den Mindesteinstellungen des Projekts automatisch scannt, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID. Model Armor wendet die in den Mindesteinstellungen dieses Projekts definierten Regeln nicht automatisch auf den gesamten Google MCP-Server-Traffic an.

Die Mindesteinstellungen für Model Armor und die allgemeine Konfiguration können sich auf mehr als nur MCP auswirken. Da Model Armor in Dienste wie die Agent Platform eingebunden ist, können sich Änderungen, die Sie an den Mindesteinstellungen vornehmen, auf das Scannen von Traffic und das Sicherheitsverhalten in allen eingebundenen Diensten auswirken, nicht nur in MCP.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Richtlinien (Identity and Access Management) zur Zugriffsbeschränkung helfen Ihnen, Google Cloud Remote-MCP-Server zu schützen. Konfigurieren Sie diese Richtlinien, um unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

• Der Prinzipal
• Tooleigenschaften wie „schreibgeschützt“
• Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit Identity and Access Management steuern.

Nächste Schritte

• Lesen Sie die Referenzdokumentation zur MCP-Lösung „Database Insights“.
• Weitere Informationen zuGoogle Cloud MCP-Servern