Memantau Cloud SQL untuk PostgreSQL menggunakan server MCP Database Insights

Server MCP jarak jauh Database Insights memungkinkan Anda memantau cluster dan instance Cloud SQL untuk PostgreSQL dari lingkungan pengembangan dan platform agen AI yang mendukung AI dengan mengambil metrik kueri dan sistem.

Dokumen ini menjelaskan cara menggunakan server Model Context Protocol (MCP) jarak jauh Database Insights untuk memantau Cloud SQL untuk PostgreSQL dari aplikasi AI seperti Gemini CLI, mode agen di Gemini Code Assist, Claude Code, atau di aplikasi AI yang Anda kembangkan.

Server MCP jarak jauh Database Insights diaktifkan saat Anda mengaktifkan Database Insights.

Model Context Protocol (MCP) menstandarkan cara model bahasa besar (LLM) dan aplikasi atau agen AI terhubung ke sumber data eksternal. Server MCP memungkinkan Anda menggunakan alat, resource, dan perintahnya untuk mengambil tindakan dan mendapatkan data terbaru dari layanan backend-nya.

Apa perbedaan antara server MCP lokal dan jarak jauh?

Server MCP lokal
Biasanya berjalan di komputer lokal Anda dan menggunakan aliran input dan output standar (stdio) untuk komunikasi antar-layanan di perangkat yang sama.
Server MCP jarak jauh
Berjalan di infrastruktur layanan dan menawarkan endpoint HTTP ke aplikasi AI untuk komunikasi antara klien MCP AI dan server MCP. Untuk mengetahui informasi selengkapnya tentang arsitektur MCP, lihat Arsitektur MCP.

Server MCP Google dan Google Cloud jarak jauh

Server MCP Google dan Google Cloud jarak jauh memiliki fitur dan manfaat berikut:

  • Penemuan yang disederhanakan dan terpusat.
  • Endpoint HTTP global atau regional yang dikelola.
  • Otorisasi terperinci.
  • Keamanan perintah dan respons opsional dengan perlindungan Model Armor.
  • Logging audit terpusat.

Untuk mengetahui informasi tentang server MCP lainnya dan informasi tentang keamanan dan kontrol tata kelola yang tersedia untuk Google Cloud server MCP, lihat Google Cloud Ringkasan server MCP.

Sebelum memulai

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Cloud SQL, Database Insights APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Instal gcloud CLI.

  6. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  7. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Cloud SQL, Database Insights APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Instal gcloud CLI.

  12. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  13. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk menggunakan server MCP Database Insights, minta administrator untuk memberi Anda peran IAM berikut di project tempat Anda ingin menggunakan server MCP Database Insights:

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk menggunakan server MCP Database Insights. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk menggunakan server MCP Database Insights:

  • Melakukan panggilan alat MCP: mcp.tools.call
  • Mendapatkan metrik kueri: queryMetrics.fetch
  • Mendapatkan metrik sistem: systemMetrics.fetch
  • Melihat metrik Monitoring: monitoring.timeseries.list

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Autentikasi dan otorisasi

Server MCP jarak jauh Cloud SQL untuk PostgreSQL menggunakan protokol OAuth 2.0 dengan Identity and Access Management (IAM) untuk autentikasi dan otorisasi. Semua Google Cloud identitas didukung untuk autentikasi ke server MCP.

Server MCP jarak jauh Database Insights tidak menerima kunci API.

Sebaiknya buat identitas terpisah untuk agen yang menggunakan alat MCP sehingga akses ke resource dapat dikontrol dan dipantau. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.

Cakupan OAuth MCP Database Insights

Database Insights memiliki cakupan OAuth alat MCP berikut:

URI cakupan untuk gcloud CLI Deskripsi
https://www.googleapis.com/auth/cloud-platform Membuat kueri dan menganalisis performa database dan metrik sistem.

Cakupan tambahan mungkin diperlukan pada resource yang diakses selama panggilan alat.

Mengonfigurasi klien MCP untuk menggunakan server MCP Database Insights

Aplikasi dan agen AI, seperti Claude atau Gemini CLI, dapat membuat instance klien MCP yang terhubung ke satu server MCP. Aplikasi AI dapat memiliki beberapa klien yang terhubung ke server MCP yang berbeda. Untuk terhubung ke server MCP jarak jauh, klien MCP harus mengetahui URL server MCP jarak jauh.

Di aplikasi AI Anda, cari cara untuk terhubung ke server MCP jarak jauh. Anda akan diminta untuk memasukkan detail tentang server, seperti nama dan URL-nya.

Untuk server MCP Database Insights, masukkan hal berikut sesuai kebutuhan:

  • Nama server: Server MCP Database Insights
  • URL server atau Endpoint: https://databaseinsights.googleapis.com/mcp
  • Transportasi: HTTP
  • Detail autentikasi: Bergantung pada cara autentikasi yang Anda inginkan, Anda dapat memasukkan Google Cloud kredensial, ID Klien OAuth dan rahasia, atau identitas dan kredensial agen. Untuk mengetahui informasi selengkapnya tentang autentikasi, lihat Mengautentikasi ke server MCP.
  • Cakupan OAuth: cakupan OAuth 2.0 yang ingin Anda gunakan saat terhubung ke server MCP Database Insights.

Untuk panduan khusus host tentang cara menyiapkan dan terhubung ke server MCP, lihat hal berikut:

Untuk panduan yang lebih umum, lihat referensi berikut:

Alat yang tersedia

Untuk melihat detail alat MCP yang tersedia dan deskripsinya untuk server MCP Database Insights, lihat Referensi MCP Database Insights.

Mencantumkan alat

Gunakan pemeriksa MCP untuk mencantumkan alat, atau kirim tools/list permintaan HTTP langsung ke Database Insights server MCP jarak jauh. Metode tools/list tidak memerlukan autentikasi.

POST /mcp HTTP/1.1
Host: databaseinsights.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Kasus penggunaan sampel

Berikut adalah kasus penggunaan sampel untuk memantau Cloud SQL untuk PostgreSQL menggunakan server MCP Database Insights.

Memantau performa kueri

Anda dapat menggunakan server MCP Database Insights untuk mengidentifikasi kueri yang lambat dan memahami pola workload database.

Contoh perintah:

"Temukan 5 kueri teratas dengan waktu eksekusi tertinggi di instance Cloud SQL untuk PostgreSQL saya di project PROJECT_ID selama satu jam terakhir."

Alur kerja: Alur kerja untuk memantau performa kueri mencakup langkah-langkah berikut:

  • Pengambilan data: Agen memanggil alat get_query_metrics dengan kueri PromQL yang dikonfigurasi untuk mengambil cloudsql.googleapis.com/database/postgresql/insights/aggregate/execution_time.

  • Analisis: Agen memproses data deret waktu yang ditampilkan untuk mengidentifikasi kueri dengan waktu eksekusi kumulatif tertinggi.

  • Pelaporan: Agen mencantumkan hash kueri dan waktu eksekusinya masing-masing, sehingga membantu Anda mengidentifikasi potensi bottleneck.

Pemeriksaan status sistem

Anda dapat memantau penggunaan resource instance Cloud SQL untuk PostgreSQL guna memastikan ukurannya sudah tepat dan performanya optimal.

Contoh perintah:

"Berapa rata-rata penggunaan CPU dan memori yang tersedia untuk instance Cloud SQL untuk PostgreSQL saya INSTANCE_IDselama 24 jam terakhir?"

Alur kerja: Alur kerja untuk pemeriksaan status sistem mencakup langkah-langkah berikut:

  • Pengambilan metrik: Agen menggunakan alat get_system_metrics untuk mengambil cloudsql.googleapis.com/database/cpu/utilization untuk instance yang ditentukan.

  • Ringkasan: Agen menggabungkan data selama periode 24 jam.

  • Pelaporan: Agen memberikan ringkasan tren CPU dan memori, serta memberi tahu Anda jika penggunaan mencapai batas.

Konfigurasi keamanan dan keselamatan opsional

MCP memperkenalkan risiko dan pertimbangan keamanan baru karena berbagai tindakan yang dapat Anda lakukan dengan alat MCP. Untuk meminimalkan dan mengelola risiko ini, Google Cloud menawarkan setelan default dan kebijakan yang dapat disesuaikan untuk mengontrol penggunaan alat MCP di Google Cloud organisasi atau project Anda.

Untuk mengetahui informasi selengkapnya tentang keamanan dan tata kelola MCP, lihat Keamanan dan keselamatan AI.

Menggunakan Model Armor

Model Armor adalah Google Cloud layanan yang dirancang untuk meningkatkan keamanan dan keselamatan aplikasi AI Anda. Model ini berfungsi dengan menyaring perintah dan respons LLM secara proaktif, melindungi dari berbagai risiko, dan mendukung praktik AI yang bertanggung jawab. Baik Anda men-deploy AI di lingkungan cloud, maupun di penyedia cloud eksternal, Model Armor dapat membantu Anda mencegah input berbahaya, memverifikasi keamanan konten, melindungi data sensitif, mempertahankan kepatuhan, dan menerapkan kebijakan keamanan dan keselamatan AI secara konsisten di seluruh lanskap AI Anda yang beragam.

Jika Model Armor diaktifkan dengan logging diaktifkan, Model Armor akan mencatat seluruh payload. Hal ini dapat mengekspos informasi sensitif dalam log Anda.

Mengaktifkan Model Armor

Anda harus mengaktifkan Model Armor API sebelum dapat menggunakan Model Armor.

Konsol

  1. Aktifkan Model Armor API.

    Peran yang diperlukan untuk mengaktifkan API

    Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.

    Mengaktifkan API

  2. Pilih project tempat Anda ingin mengaktifkan Model Armor.

gcloud

Sebelum memulai, ikuti langkah-langkah berikut menggunakan gcloud CLI dengan Model Armor API:

  1. Di konsol, aktifkan Cloud Shell. Google Cloud

    Aktifkan Cloud Shell

    Di bagian bawah konsol Google Cloud , sesi Cloud Shell akan dimulai dan menampilkan prompt command line. Cloud Shell adalah lingkungan shell dengan gcloud CLI yang sudah terinstal dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi pada sesi.

  2. Jalankan perintah berikut untuk menetapkan endpoint API untuk layanan Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ganti LOCATION dengan region tempat Anda ingin menggunakan Model Armor.

Mengonfigurasi perlindungan untuk server MCP Google dan Google Cloud jarak jauh

Untuk membantu melindungi panggilan dan respons alat MCP, Anda dapat menggunakan setelan minimum Model Armor. Setelan minimum menentukan filter keamanan minimum yang berlaku di seluruh project. Konfigurasi ini menerapkan kumpulan filter yang konsisten ke semua panggilan dan respons alat MCP dalam project.

Siapkan setelan minimum Model Armor dengan sanitasi MCP diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan minimum Model Armor.

Lihat contoh perintah berikut:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ganti PROJECT_ID dengan Google Cloud project IDAnda.

Perhatikan setelan berikut:

  • INSPECT_AND_BLOCK: Jenis penerapan yang memeriksa konten untuk server MCP Google dan memblokir perintah dan respons yang cocok dengan filter.
  • ENABLED: Setelan yang mengaktifkan filter atau penerapan.
  • MEDIUM_AND_ABOVE: Tingkat kepercayaan untuk setelan filter AI yang Bertanggung Jawab - Berbahaya. Anda dapat mengubah setelan ini, meskipun nilai yang lebih rendah dapat menghasilkan lebih banyak positif palsu. Untuk mengetahui informasi selengkapnya, lihat Tingkat kepercayaan Model Armor.

Menonaktifkan pemindaian traffic MCP dengan Model Armor

Untuk menghentikan Model Armor agar tidak otomatis memindai traffic ke dan dari server MCP Google berdasarkan setelan minimum project, jalankan perintah berikut:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ganti PROJECT_ID dengan the Google Cloud project ID. Model Armor tidak otomatis menerapkan aturan yang ditentukan dalam setelan minimum project ini ke traffic server MCP Google mana pun.

Setelan minimum Model Armor dan konfigurasi umum dapat memengaruhi lebih dari sekadar MCP. Karena Model Armor terintegrasi dengan layanan seperti Platform Agen, setiap perubahan yang Anda buat pada setelan minimum dapat memengaruhi pemindaian traffic dan perilaku keamanan di semua layanan terintegrasi, bukan hanya MCP.

Mengontrol penggunaan MCP dengan kebijakan penolakan IAM

Kebijakan penolakan Identity and Access Management (IAM) membantu Anda mengamankan Google Cloud server MCP jarak jauh. Konfigurasi kebijakan ini untuk memblokir akses alat MCP yang tidak diinginkan.

Misalnya, Anda dapat menolak atau mengizinkan akses berdasarkan:

  • Principal
  • Properti alat seperti hanya baca
  • ID klien OAuth aplikasi

Untuk mengetahui informasi selengkapnya, lihat Mengontrol penggunaan MCP dengan Identity and Access Management.

Langkah berikutnya