Database Insights MCP サーバーを使用して Cloud SQL for MySQL をモニタリングする

Database Insights リモート MCP サーバーを使用すると、クエリとシステム指標を取得して、AI 対応の開発環境と AI エージェント プラットフォームから Cloud SQL for MySQL クラスタとインスタンスをモニタリングできます。

このドキュメントでは、Database Insights リモート Model Context Protocol（MCP）サーバーを使用して、Gemini CLI、Gemini Code Assist のエージェント モード、Claude Code などの AI アプリケーション、または開発中の AI アプリケーションから Cloud SQL for MySQL をモニタリングする方法について説明します。

Model Context Protocol （MCP）により、大規模言語モデル（LLM）と AI アプリケーション（エージェント）が外部のデータソースに接続する方法が標準化されます。MCP サーバーを使用すると、そのツール、リソース、プロンプトを使用してアクションを実行し、バックエンド サービスから更新されたデータを取得できます。

ローカル MCP サーバーとリモート MCP サーバーの違いは何ですか？

ローカル MCP サーバー

通常はローカルマシンで実行され、同じデバイス上のサービス間の通信に標準の入力ストリームと出力ストリーム（stdio）を使用します。

リモート MCP サーバー

サービスのインフラストラクチャで実行され、AI アプリケーションに HTTP エンドポイントを提供して、AI MCP クライアントと MCP サーバー間の通信を行います。MCP アーキテクチャの詳細については、 MCP アーキテクチャをご覧ください。

Google と Google Cloud リモート MCP サーバー

Google と Google Cloud リモート MCP サーバーには、次の 機能とメリットがあります。

• 簡素化された一元的な検出。
• マネージド グローバルまたはリージョン HTTP エンドポイント。
• きめ細かい認可。
• Model Armor 保護によるプロンプトとレスポンスのセキュリティ（オプション）。
• 一元的な監査ロギング。

他の MCP サーバーと、セキュリティ とガバナンスの制御については、 Google Cloud MCP サーバー のGoogle Cloud 概要をご覧ください。

始める前に

アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、 実際のシナリオでプロダクトがどのように機能するかを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Cloud SQL, Database Insights APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

gcloud CLI を インストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Cloud SQL, Database Insights APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

gcloud CLI を インストールします。

外部 ID プロバイダ（IdP）を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。

gcloud CLI を初期化するには、次のコマンドを実行します:

gcloud init

必要なロール

Database Insights MCP サーバーの使用に必要な権限を取得するには、Database Insights MCP サーバーを使用するプロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

• MCP ツール呼び出しを行う: MCP ツールユーザー (roles/mcp.toolUser)
• Cloud Monitoring データを表示する: モニタリング閲覧者 （roles/monitoring.viewer）
• Database Insights データを表示する: データベース分析情報閲覧者 （roles/databaseinsights.viewer）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

これらの事前定義ロールには Database Insights MCP サーバーの使用に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

認証と認可

Cloud SQL for MySQL リモート MCP サーバーは、認証と認可に Identity and Access Management（IAM） と OAuth 2.0 プロトコルを使用します。MCP サーバーの認証では、すべての Google Cloud ID がサポートされています。

Database Insights リモート MCP サーバーは API キーを受け入れません。

リソースへのアクセスを制御してモニタリングできるように、MCP ツールを使用するエージェントには個別の ID を作成することをおすすめします。認証の詳細については、MCP サーバーに対して認証するをご覧ください。

Database Insights MCP の OAuth スコープ

Database Insights には、次の MCP ツール OAuth スコープがあります。

ツール呼び出し中にアクセスされるリソースに追加のスコープが必要になる場合があります。

Database Insights MCP サーバーを使用するように MCP クライアントを構成する

Claude や Gemini CLI などの AI アプリケーションとエージェントは、単一の MCP サーバーに接続する MCP クライアントをインスタンス化できます。AI アプリケーションには、さまざまな MCP サーバーに接続する複数のクライアントを設定できます。 リモート MCP サーバーに接続するには、MCP クライアントがリモート MCP サーバーの URL を認識している必要があります。

AI アプリケーションで、リモート MCP サーバーに接続する方法を探します。サーバーの詳細（名前や URL など）を入力するよう求められます。

Database Insights MCP サーバーの場合は、必要に応じて次の情報を入力します。

• サーバー名: Database Insights MCP サーバー
• サーバー URL または エンドポイント: https://databaseinsights.googleapis.com/mcp
• トランスポート: HTTP
• 認証の詳細: 認証方法に応じて、 認証情報、OAuth クライアント ID とシークレット、またはエージェントの ID と認証情報を入力できます。 Google Cloud 認証の詳細については、MCP サーバーに対して認証するをご覧ください。
• OAuth スコープ: Database Insights MCP サーバーに接続するときに使用するOAuth 2.0 スコープ。

MCP サーバーの設定と接続に関するホスト固有のガイダンスについては、以下をご覧ください。

• Claude.ai
• Gemini CLI

一般的なガイダンスについては、次のリソースをご覧ください。

• リモート MCP サーバーに接続する。
• AI アプリケーションで MCP を構成する。

使用可能なツール

Database Insights MCP サーバーで使用可能な MCP ツールの詳細とその説明を表示するには、 Database Insights MCP リファレンスをご覧ください。

ツールの一覧表示

MCP インスペクタを使用してツールを一覧表示するか、 tools/list HTTP リクエストを Database Insights リモート MCP サーバーに直接送信します。tools/list メソッド: 認証を必要としません。

POST /mcp HTTP/1.1
Host: databaseinsights.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

サンプルのユースケース

Database Insights MCP サーバーを使用して Cloud SQL for MySQL をモニタリングするユースケースの例を次に示します。

クエリ パフォーマンスをモニタリングする

Database Insights MCP サーバーを使用すると、遅いクエリを特定し、データベース ワークロード パターンを把握できます。

プロンプトの例:

「過去 1 時間に PROJECT_ID プロジェクトの Cloud SQL for MySQL インスタンスで実行時間が最も長かった上位 5 つのクエリを特定してください。PROJECT_ID 」

ワークフロー: クエリ パフォーマンスをモニタリングするワークフローには、次のステップが含まれます。

• データの取得: エージェントは、cloudsql.googleapis.com/database/mysql/insights/aggregate/execution_time を取得するように構成された PromQL クエリを使用して、get_query_metrics ツールを呼び出します。

• 分析: エージェントは、返された時系列データを処理して、 累積実行時間が最も長いクエリを特定します。

• レポート: エージェントは、クエリハッシュとそれぞれの 実行時間を一覧表示し、潜在的なボトルネックを特定できるようにします。

システムヘルス チェック

Cloud SQL for MySQL インスタンスのリソース使用量をモニタリングして、サイズが適切で、最適なパフォーマンスを発揮していることを確認できます。

プロンプトの例:

「過去 24 時間の Cloud SQL for MySQL インスタンス INSTANCE_ID の平均 CPU 使用率と使用可能な メモリはどのくらいですか？」

ワークフロー: システムヘルス チェックのワークフローには、次の ステップが含まれます。

• 指標の取得: エージェントは get_system_metrics ツールを使用して、 cloudsql.googleapis.com/database/cpu/utilization を 指定されたインスタンスに対して取得します。

• 要約: エージェントは 24 時間のデータを集計します。

• レポート: エージェントは CPU とメモリの傾向の概要を提供し、 使用率が上限近くに達した場合はアラートを送信します。

セキュリティと安全に関するオプションの構成

MCP ツールで実行できるアクションが多岐にわたるため、MCP によって新たなセキュリティ リスクと考慮事項が加わります。これらのリスクを最小限に抑えて管理するために、 Google Cloud は、 組織またはプロジェクトでの MCP ツールの使用を制御するデフォルトの設定とカスタマイズ可能な ポリシーを提供します。 Google Cloud

MCP のセキュリティとガバナンスの詳細については、 AI のセキュリティと安全性をご覧ください。

Model Armor を使用する

Model Armor は、AI アプリケーションのセキュリティと 安全性を強化するために設計された Google Cloud サービスです。LLM のプロンプトとレスポンスを事前にスクリーニングすることで、さまざまなリスクから保護し、責任ある AI への取り組みをサポートします。クラウド環境や外部クラウド プロバイダに AI をデプロイする場合でも、Model Armor を使用すると、悪意のある入力からの防御、コンテンツの安全性の検証、センシティブ データの保護、コンプライアンスの維持、多様な AI 環境全体で AI の安全性とセキュリティ ポリシーの一貫した適用が可能になります。

ロギングを有効にして Model Armorを有効にすると、Model Armor はペイロード全体をログに記録します。これにより、機密情報がログに公開される可能性があります。

Model Armor を有効にする

Model Armor を使用するには、Model Armor API を有効にする必要があります。

Google と Google Cloud リモート MCP サーバーの保護を構成する

MCP ツール呼び出しとレスポンスを保護するには、Model Armor のフロア設定を使用します。フロア設定では、プロジェクト全体に適用される最小限のセキュリティ フィルタを定義します。この構成では、プロジェクト内のすべての MCP ツール呼び出しとレスポンスに一貫したフィルタセットが適用されます。

MCP サニタイズを有効にして、Model Armor のフロア設定を行います。詳細については、Model Armor のフロア 設定を構成するをご覧ください。

次のコマンド例をご覧ください。

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

PROJECT_ID は、実際の Google Cloud プロジェクト ID に置き換えます。

次の設定に注意してください。

• INSPECT_AND_BLOCK: Google MCP サーバーのコンテンツを検査し、フィルタに一致するプロンプトとレスポンスをブロックする適用タイプ。
• ENABLED: フィルタまたは 適用を有効にする設定。
• MEDIUM_AND_ABOVE: 責任ある AI - 危険フィルタ設定の信頼度。この設定は変更できますが、 値を小さくすると誤検出が増える可能性があります。詳細については、Model Armor の信頼度をご覧ください。

Model Armor による MCP トラフィックのスキャンを無効にする

Model Armor がプロジェクトのフロア設定に基づいて Google MCP サーバーとの間のトラフィックを自動的にスキャンしないようにするには、次のコマンドを実行します。

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

PROJECT_ID は、 Google Cloud プロジェクト ID に置き換えます。Model Armor は、このプロジェクトのフロア設定で定義されたルールを Google MCP サーバーのトラフィックに自動的に適用しません。

Model Armor のフロア設定と一般的な構成は、MCP だけでなく、他の要素にも影響する可能性があります。Model Armor は Agent Platform などのサービスと統合されているため、フロア設定を変更すると、MCP だけでなく、統合されているすべてのサービスでトラフィック スキャンと安全性の動作に影響する可能性があります。

IAM 拒否ポリシーを使用して MCP の使用を制御する

Identity and Access Management（IAM）拒否ポリシーは、リモート MCP サーバーの 保護 Google Cloud に役立ちます。不要な MCP ツールへのアクセスをブロックするように、これらのポリシーを構成します。

たとえば、次の条件に基づいてアクセスを拒否または許可できます。

• プリンシパル
• 読み取り専用などのツール プロパティ
• アプリケーションの OAuth クライアント ID

詳細については、Identity and Access Management による MCP の使用の制御をご覧ください。

次のステップ

• Database Insights MCP リファレンス ドキュメントを読む。
• Google Cloud MCP サーバーの詳細を確認する。