שימוש בשרת MCP מרוחק של Cloud SQL

במאמר הזה נסביר איך להשתמש בשרת Model Context Protocol‏ (MCP) מרוחק של Cloud SQL for SQL Server כדי להתחבר לאפליקציות מבוססות-AI, כולל Gemini CLI, ‏ ChatGPT, ‏ Claude ואפליקציות בהתאמה אישית שאתם מפתחים. שרת ה-MCP המרוחק של Cloud SQL מאפשר לכם לגשת לכלים של Cloud SQL ולהריץ אותם כדי ליצור משאבים של Cloud SQL, לנהל אותם ולבצע עליהם שאילתות מסביבות פיתוח עם AI ופלטפורמות של סוכני AI. השרת המרוחק של MCP ל-Cloud SQL ל-SQL Server מופעל כשמפעילים את Cloud SQL ל-SQL Server API.

Model Context Protocol‏ (MCP) הוא תקן שקובע איך מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

מה ההבדל בין שרתי MCP מקומיים לבין שרתי MCP מרחוק?

שרתי MCP מקומיים
בדרך כלל פועלים במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר.
שרתי MCP מרוחקים
פועל בתשתית של השירות ומציע נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-MCP של ה-AI לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת ה-MCP זמין במאמר ארכיטקטורת ה-MCP.

‫Google ושרתי MCP מרוחקים Google Cloud

לשרתי MCP של Google ושרתי MCP מרוחקים יש את התכונות והיתרונות הבאים: Google Cloud

  • גילוי פשוט ומרכזי
  • נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
  • הרשאות פרטניות
  • אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
  • רישום מרכזי ביומן הביקורת

מידע על שרתי MCP אחרים ועל אמצעי אבטחה ובקרה שזמינים לשרתי MCP של Google Cloud מופיע במאמר סקירה כללית על שרתי MCP של Google Cloud.

שרתי MCP מרוחקים מנוהלים על ידי Google ומציעים אמצעי בקרה נוספים לאבטחה ולניהול בהשוואה לשרתי MCP מקומיים שמסופקים על ידי Cloud SQL for SQL Server MCP Toolbox for Databases. מידע נוסף על שרתי MCP מרוחקים אחרים ועל אמצעי הבקרה לאבטחה ולניהול שזמינים ל-MCP זמין במאמר Google Cloud סקירה כללית על שרתי MCP.

הקטעים הבאים רלוונטיים רק לשרת MCP מרוחק של Cloud SQL ל-SQL Server.

לפני שמתחילים

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש בשרת MCP מרוחק של Cloud SQL, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו אתם רוצים להשתמש בשרת MCP מרוחק של Cloud SQL:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש מכילים את ההרשאות שנדרשות לשימוש בשרת MCP מרוחק של Cloud SQL. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להשתמש בשרת MCP מרוחק של Cloud SQL, נדרשות ההרשאות הבאות:

  • ביצוע קריאות לכלי ה-MCP: mcp.tools.call
  • שיבוט מכונת Cloud SQL: cloudsql.instances.clone
  • יוצרים מכונה של Cloud SQL: cloudsql.instances.create
  • קבלת מכונה של Cloud SQL: cloudsql.instances.get
  • קבלת פעולה של מכונה ב-Cloud SQL: cloudsql.instances.get
  • ייבוא נתונים למופע של Cloud SQL: cloudsql.instances.import
  • כדי להציג רשימה של מכונות Cloud SQL בפרויקט: cloudsql.instances.list
  • רשימת משתמשי Cloud SQL: cloudsql.users.list
  • שחזור מגיבוי של Cloud SQL:
    • cloudsql.backupRuns.get
    • cloudsql.instances.restoreBackup
  • עדכון מכונת Cloud SQL: cloudsql.instances.update

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הגדרת לקוח MCP לשימוש בשרת MCP של Cloud SQL

תוכנות מארחות, כמו Claude או Gemini CLI, יכולות ליצור מופעים של לקוחות MCP שמתחברים לשרת MCP יחיד. לתוכנת מארח יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. כדי להתחבר לשרת MCP מרוחק, לקוח ה-MCP צריך לדעת לפחות את כתובת ה-URL של שרת ה-MCP המרוחק.

כדי להגדיר לקוחות MCP להתחבר לשרת MCP מרוחק של Cloud SQL, פועלים לפי ההוראות הבאות.

Gemini CLI

כדי להוסיף שרת MCP מרוחק של Cloud SQL ל-Gemini CLI, צריך להגדיר אותו כתוסף.

  1. יוצרים קובץ תוסף במיקום הבא: ~/.gemini/extensions/EXT_NAME/gemini-extension.json כאשר ~/ היא ספריית הבית ו-EXT_NAME הוא השם שרוצים לתת לתוסף.

  2. שומרים את התוכן הבא בקובץ התוסף:

            {
              "name": "EXT_NAME",
              "version": "1.0.0",
              "mcpServers": {
                "Cloud SQL MCP Server": {
                  "httpUrl": "https://sqladmin.googleapis.com/mcp",
                  "authProviderType": "google_credentials",
                  "oauth": {
                    "scopes": ["https://www.googleapis.com/auth/cloud-platform"]
                  },
                  "timeout": 30000,
                  "headers": {
                    "x-goog-user-project": "PROJECT_ID"
                  }
                }
              }
            }
            
  3. שומרים את קובץ התוספים.

  4. מפעילים את Gemini CLI:

            gemini
            
  5. מריצים את הפקודה /mcp כדי לראות את שרת ה-MCP שהגדרתם ואת הכלים שלו.

    התגובה אמורה להיראות כך:

            Configured MCP servers:
            🟢 Cloud SQL MCP Server (from sqladmin )
              - list_instances
              - get_instance
              - clone_instance
              - create_instance
              - update_instance
              - execute_sql
              - execute_sql_readonly
              - get_operation
              - create_user
              - update_user
              - list_users
              - create_backup
              - restore_backup
              - import_data
              - postgres_upgrade_precheck
            

שרת ה-MCP המרוחק מוכן לשימוש ב-Gemini CLI.

Antigravity

כדי להגדיר את שרת ה-MCP המרוחק של Cloud SQL לשימוש עם Antigravity, צריך להשתמש בפרטי הכניסה שמוגדרים כברירת מחדל באפליקציה (ADC).

אימות לפרויקט Google Cloud

  1. מריצים את הפקודה הבאה כדי להיכנס אל Google Cloud באמצעות ADC.
    gcloud auth application-default login
        
  2. מעתיקים את כתובת ה-URL והאסימון שנוצרו לחלון דפדפן.
  3. מסך הכניסה יופיע. בוחרים את החשבון שיש לו הרשאות להפעיל את כלי ה-MCP ולהשתמש בשרת ה-MCP המרוחק. אחרי שנכנסים, פרטי הכניסה נשמרים בקובץ פרטי הכניסה המקומי שמשמש את ADC.

הוספת שרת MCP מרוחק ל-Antigravity

  1. פותחים את Antigravity.
  2. בחלונית Agent (סוכן), לוחצים על כדי לפתוח את התפריט Additional options (אפשרויות נוספות) ובוחרים באפשרות MCP servers (שרתי MCP).
  3. בחלון MCP Store, בוחרים באפשרות Manage MCP Servers (ניהול שרתי MCP). בחלון הראשי של העורך, מופיעה החלונית Manage MCP servers.
  4. בחלונית ניהול שרתי MCP, לוחצים על הצגת הגדרות גולמיות כדי לפתוח כרטיסייה עם קובץ mcp_json.config.
  5. מוסיפים את ההגדרה הבאה לקובץ mcp_config.json:
      {
         "mcpServers": {
            "cloud-sql": {
               "serverUrl": "https://sqladmin.googleapis.com/mcp",
                "authProviderType": "google_credentials",
                "disabled": false
          }
        }
      }
  6. חוזרים לחלונית Manage MCP servers (ניהול שרתי MCP) ולוחצים על Refresh (רענון). תוצג רשימה של כלים שזמינים לשרת ה-MCP המרוחק של Cloud SQL.
  7. בחלונית Agent, מזינים הנחיה לסוכן שמשתמש בשרת MCP מרוחק של Cloud SQL. לדוגמה:
    List the Cloud SQL instances in the project.
  8. מוודאים שהסוכן משתמש בכלי list_instances משרת ה-MCP המרוחק של Cloud SQL. בחלונית Agent, אפשר לראות את העבודה של הסוכן, כולל:

    MCP tool: cloud-sql/list_instance

Claude.ai

כדי להגדיר שרתי Google ו-MCP ב-Claude.ai, צריך להיות לכם מינוי לתוכנית Claude Enterprise, ‏ Pro, ‏ Max או Team. Google Cloud למידע על מחירים אפשר לעיין בתמחור של Claude.

כדי להוסיף ל-Claude.ai שרת MCP של Google או Google Cloud שרת MCP מרוחק, צריך להגדיר מחבר בהתאמה אישית עם מזהה לקוח OAuth וסוד לקוח OAuth:

יצירת מזהה לקוח וסוד לקוח ב-OAuth 2.0

  1. במסוף Google Cloud , עוברים אל Google Auth Platform > Clients > Create client.

    מעבר אל Create client

    אם לא בחרתם פרויקט, תתבקשו ליצור פרויקט.

  2. ברשימה Application type, בוחרים באפשרות אפליקציית אינטרנט.

  3. בשדה שם, מזינים שם לאפליקציה.

  4. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על + Add URI (הוספת כתובת URI) ואז מוסיפים את https://claude.ai/api/mcp/auth_callback בשדה URIs (כתובות URI).

  5. לוחצים על יצירה. הלקוח נוצר. כדי לגשת למזהה הלקוח, במסוף Google Cloud , עוברים אל פלטפורמת האימות של Google > לקוחות.

  6. ברשימה מזהי לקוחות ב-OAuth 2.0, בוחרים את שם הלקוח.

  7. בקטע Client secrets, מעתיקים את Client secret ושומרים אותו במקום מאובטח. אפשר להעתיק אותו רק פעם אחת. אם מאבדים אותו, צריך למחוק את הסוד וליצור סוד חדש.

יצירת מחבר בהתאמה אישית ב-Claude.ai

פועלים לפי ההוראות למינוי Claude שבו אתם משתמשים:

‫Enterprise ו-Team

  1. ב-Claude.ai, עוברים אל Admin settings > Connectors (הגדרות אדמין > מחברים).

  2. לוחצים על הוספת מחבר בהתאמה אישית.

  3. בתיבת הדו-שיח הוספת מחבר מותאם אישית, מזינים את הפרטים הבאים:

    • שם השרת: שם של השרת שקריא לבני-אדם.
    • כתובת ה-URL של שרת ה-MCP המרוחק: https://sqladmin.googleapis.com/mcp
  4. מרחיבים את התפריט הגדרות מתקדמות ומזינים את הפרטים הבאים:

    • מזהה לקוח ב-OAuth: מזהה הלקוח ב-OAuth 2.0 שיצרתם.
    • הסוד של לקוח OAuth: הסוד של לקוח OAuth 2.0. כדי לאחזר את הסוד, עוברים אל Google Auth Platform > Clients (פלטפורמת אימות של Google > לקוחות) ובוחרים את מזהה לקוח OAuth שיצרתם. בקטע Client secrets, לוחצים כדי להעתיק את Client secret.
  5. לוחצים על הוספה.

    המחבר המותאם אישית נוצר.

  6. פותחים את התפריט כלים ומפעילים את המחבר.

    ‫Claude.ai יכול להשתמש בשרת ה-MCP.

Pro ו-Max

  1. ב-Claude.ai, עוברים אל הגדרות > מחברים.

  2. לוחצים על הוספת מחבר בהתאמה אישית.

  3. בתיבת הדו-שיח הוספת מחבר מותאם אישית, מזינים את הפרטים הבאים:

    • שם השרת: שם של השרת שקריא לבני-אדם.
    • כתובת ה-URL של שרת ה-MCP המרוחק: https://sqladmin.googleapis.com/mcp
  4. מרחיבים את התפריט הגדרות מתקדמות ומזינים את הפרטים הבאים:

    • מזהה לקוח ב-OAuth: מזהה הלקוח ב-OAuth 2.0 שיצרתם.
    • הסוד של לקוח OAuth: הסוד של לקוח OAuth 2.0. כדי לאחזר את הסוד, עוברים אל Google Auth Platform > Clients (פלטפורמת אימות של Google > לקוחות) ובוחרים את מזהה לקוח OAuth שיצרתם. בקטע Client secrets, לוחצים כדי להעתיק את Client secret.
  5. לוחצים על הוספה.

    המחבר המותאם אישית נוצר.

  6. פותחים את התפריט כלים ומפעילים את המחבר.

    ‫Claude.ai יכול להשתמש בשרת ה-MCP.

ChatGPT

כדי להשתמש בשרתי MCP של Google ו-Cloud SQL עם ChatGPT, צריך להיות לכם מינוי ל-ChatGPT Business.

כדי להוסיף ל-ChatGPT שרת MCP מרוחק של Google או Cloud SQL, צריך ליצור מזהה לקוח וסוד של Google OAuth 2.0, ואז להוסיף את שרת ה-MCP כאפליקציה ב-ChatGPT.

יצירת מזהה לקוח וסוד לקוח ב-OAuth 2.0

  1. במסוף Google Cloud , עוברים אל Google Auth Platform > Clients > Create client.

    מעבר אל Create client

    אם לא בחרתם פרויקט, תתבקשו ליצור פרויקט.

  2. ברשימה Application type, בוחרים באפשרות אפליקציית אינטרנט.

  3. בשדה שם, מזינים שם לאפליקציה.

  4. בקטע Authorized JavaScript origins (מקורות מורשים של JavaScript), לוחצים על + Add URI (הוספת URI) ואז מוסיפים https://chatgpt.com בשדה URIs (כתובות URI).

  5. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על + Add URI (הוספת כתובת URI) ואז מוסיפים את https://chatgpt.com/connector_platform_oauth_redirect בשדה URIs (כתובות URI).

  6. לוחצים על יצירה. הלקוח נוצר. כדי לגשת למזהה הלקוח, במסוף Google Cloud , עוברים אל פלטפורמת האימות של Google > לקוחות.

  7. ברשימה מזהי לקוחות ב-OAuth 2.0, בוחרים את שם הלקוח.

  8. בקטע Client secrets, מעתיקים את Client secret ושומרים אותו במקום מאובטח. אפשר להעתיק אותו רק פעם אחת. אם מאבדים אותו, צריך למחוק את הסוד וליצור סוד חדש.

הוספת שרת MCP כאפליקציה ב-ChatGPT

  1. נכנסים לחשבון ב-ChatGPT.
  2. מפעילים את מצב פיתוח:
    1. ב-ChatGPT, לוחצים על שם המשתמש כדי לפתוח את תפריט הפרופיל, ואז בוחרים באפשרות הגדרות.
    2. בתפריט ההגדרות, בוחרים באפשרות אפליקציות ואז לוחצים על הגדרות מתקדמות.
    3. בהגדרות המתקדמות, לוחצים על המתג מצב פיתוח כדי להפעיל אותו.
  3. בקטע הגדרות > אפליקציות, לוחצים על הלחצן יצירת אפליקציה.
  4. בתיבת הדו-שיח New app, מזינים את הפרטים הבאים:
    • שם: השם של שרת ה-MCP.
    • תיאור: תיאור אופציונלי של שרת ה-MCP.
    • כתובת ה-URL של שרת ה-MCP: https://sqladmin.googleapis.com/mcp
    • אימות:
      • בתפריט אימות, בוחרים באפשרות OAuth.
      • בשדה מזהה הלקוח ב-OAuth, מזינים את מזהה הלקוח ב-Google OAuth.
      • בשדה סוד OAuth, מזינים את הסוד של לקוח Google OAuth.
    • מאשרים שהבנתם את הסיכון שקשור לשימוש בשרת MCP, ואז לוחצים על יצירה.

שרת ה-MCP מוצג בתפריט Apps, והוא מוכן לשימוש באמצעות הנחיות בצ'אט.

הנחיות כלליות ללקוחות MCP

אם לקוח ה-MCP שלכם לא מופיע במאמר הגדרת לקוח MCP לשימוש בשרת MCP של Cloud SQL, אתם יכולים להשתמש במידע הבא כדי להתחבר לשרת MCP מרוחק בתוכנת המארח או באפליקציית ה-AI. תתבקשו להזין פרטים על השרת, כמו השם וכתובת ה-URL שלו.

בשרת ה-MCP המרוחק של Cloud SQL, מזינים את הפרטים הבאים לפי הצורך:

  • שם השרת: שרת Cloud SQL MCP
  • כתובת URL של השרת או נקודת קצה: https://sqladmin.googleapis.com/mcp (או כתובת URL של ערכת כלים ייעודית)
  • Transport: HTTP
  • פרטי אימות: בהתאם לשיטת האימות שבה רוצים להשתמש, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח וסוד הלקוח של OAuth, או את הזהות ופרטי הכניסה של סוכן.

הנחיות כלליות נוספות זמינות במקורות המידע הבאים:

אימות והרשאה

שרתי Cloud SQL MCP משתמשים בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולמתן הרשאות. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

שרת ה-MCP המרוחק של Cloud SQL לא מקבל מפתחות API.

אנחנו ממליצים ליצור זהות נפרדת לסוכנים באמצעות כלי MCP, כדי שיהיה אפשר לשלוט בגישה למשאבים ולעקוב אחריה. מידע נוסף על אימות זמין במאמר אימות לשרתי MCP.

היקפי הרשאות OAuth ב-Cloud SQL MCP

ב-OAuth 2.0 משתמשים בהיקפי הרשאות ובפרטי כניסה כדי לקבוע אם לגורם מאומת מסוים יש הרשאה לבצע פעולה ספציפית במשאב. מידע נוסף על היקפי OAuth 2.0 ב-Google זמין במאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.

לכלי MCP ב-Cloud SQL יש את היקפי ההרשאות הבאים של OAuth:

היקף URI ל-CLI של gcloud תיאור
https://www.googleapis.com/auth/cloud-platform יצירה, עדכון ופירוט של משאבי Cloud SQL, כולל מכונות ומשתמשים במסד נתונים. ייבוא נתונים והרצת הצהרות SQL במכונות Cloud SQL.
https://www.googleapis.com/auth/cloudsql יצירה, עדכון ופירוט של משאבי Cloud SQL, כולל מכונות ומשתמשים במסד נתונים. ייבוא נתונים והרצת הצהרות SQL במכונות Cloud SQL. אפשר להשתמש בהיקף הזה בנוסף להיקף הרחב יותר של הפלטפורמה כולה, או במקומו.
https://www.googleapis.com/auth/cloudsql.readonly הצגה של משאבי Cloud SQL והנתונים במכונות של Cloud SQL. אפשר להשתמש בהיקף הזה להרצת הצהרות SQL לקריאה בלבד.

יכול להיות שיידרשו היקפי הרשאות נוספים במשאבים שאליהם ניגשים במהלך הפעלת כלי. רשימת ההיקפים הנדרשים ל-Cloud SQL מופיעה במאמר בנושא Cloud SQL Admin API.

ערכות כלים זמינות

שרת ה-MCP המרוחק של Cloud SQL מספק כתובות URL מיוחדות של נקודות קצה (ערכות כלים) שחושפות קבוצות משנה ספציפיות של כלים, בהתאם לדרישות האבטחה ולתהליך העבודה שלכם. אתם יכולים להגדיר את לקוח ה-MCP שלכם להתחבר לכל אחת מכתובות ה-URL של ערכת הכלים הבאות:

  • כל הכלים: https://sqladmin.googleapis.com/mcp חשיפה של כל הכלים הזמינים לשרת ה-MCP המרוחק.

  • קריאה בלבד: https://sqladmin.googleapis.com/mcp/readonly מאפשרת גישה לכלים לקריאה בלבד:

    • get_instance
    • get_operation
    • list_instances
    • list_users
    • execute_sql_readonly
  • ניהול מכונות: https://sqladmin.googleapis.com/mcp/instance_manage חשיפת כלים ליצירה, לשינוי ולניהול של מכונות Cloud SQL:

    • clone_instance
    • create_instance
    • get_instance
    • get_operation
    • list_instances
    • update_instance
  • הרצת שאילתות: https://sqladmin.googleapis.com/mcp/query_execution הצגת כלים להרצת הצהרות SQL:

    • execute_sql
    • get_operation

כלים זמינים

  • clone_instance: יצירת מכונה של Cloud SQL כשיבוט של מכונת המקור.
  • create_backup: יצירת גיבוי של מכונת Cloud SQL.
  • create_instance: מתחיל את היצירה של מכונת Cloud SQL.
  • get_instance: מקבל את הפרטים של מופע Cloud SQL.
  • get_operation: מקבל את הסטטוס של פעולה ארוכת טווח ב-Cloud SQL.
  • import_data: מייבא נתונים למופע Cloud SQL מ-Cloud Storage.
  • list_instances: מציג רשימה של כל המופעים של Cloud SQL בפרויקט.
  • list_users: מציג רשימה של כל משתמשי מסד הנתונים במופע Cloud SQL.
  • restore_backup: שחזור גיבוי של מופע Cloud SQL.
  • update_instance: עדכון הגדרות נתמכות של מופע Cloud SQL.

כדי לראות פרטים נוספים על כלי MCP זמינים והתיאורים שלהם עבור שרת MCP מרוחק של Cloud SQL, אפשר לעיין בהפניה ל-MCP של Cloud SQL.

כלים ליצירת רשימות

אפשר להשתמש בכלי הבדיקה של MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP‏ tools/list ישירות לשרת MCP המרוחק של Cloud SQL. בשיטה tools/list לא נדרש אימות.

POST /mcp HTTP/1.1
Host: sqladmin.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

יצירת מופע

כברירת מחדל, כשיוצרים מופע Cloud SQL באמצעות create_instance, המופע מוגדר עם כתובת IP ציבורית.

כדי ליצור מכונה עם כתובת IP פרטית, אפשר ליצור מכונה עם גישה לשירותים פרטיים או Private Service Connect. כשיוצרים מכונה עם כתובת IP פרטית, כתובת ה-IP הציבורית שלה מושבתת באופן אוטומטי.

כדי להפעיל גישה לשירותים פרטיים, צריך שחיבור של גישה לשירותים פרטיים כבר יהיה זמין לפרויקט שבו אתם יוצרים את מכונת Cloud SQL. כדי להפעיל Private Service Connect, צריכה להיות כבר נקודת קצה של Private Service Connect בפרויקט שאפשר לגשת אליו מהמכונה של Cloud SQL שאתם יוצרים.

עדכון מכונה

בעזרת הכלי update_instance אפשר לבצע את העדכונים הבאים במופע Cloud SQL:

מגבלות

  • ‫Cloud SQL ל-SQL Server לא תומך בכלי create_user או בכלי execute_sql.

הגדרות אבטחה ובטיחות אופציונליות

ה-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של פעולות שאפשר לבצע באמצעות כלי ה-MCP. כדי למזער את הסיכונים האלה ולנהל אותם,Google Cloud מציע הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב- Google Cloud.

מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.

הגנה מוגברת על המודל

Model Armor הואGoogle Cloud שירות שנועד לשפר את האבטחה והבטיחות של אפליקציות ה-AI שלכם. הכלי פועל על ידי סינון יזום של הנחיות ותשובות של מודלים גדולים של שפה (LLM), הגנה מפני סיכונים שונים ותמיכה בשיטות עבודה אחראיות של AI. בין אם אתם פורסים AI בסביבת הענן שלכם או אצל ספקי ענן חיצוניים, Model Armor יכול לעזור לכם למנוע קלט זדוני, לאמת את בטיחות התוכן, להגן על נתונים רגישים, לשמור על תאימות ולאכוף את מדיניות הבטיחות והאבטחה של ה-AI באופן עקבי בסביבת ה-AI המגוונת שלכם.

כשמפעילים את Model Armor עם הפעלת רישום ביומן, המערכת רושמת ביומן את כל מטען הנתונים. הפעולה הזו עלולה לחשוף מידע רגיש ביומני הרישום.

הפעלת הגנה מוגברת על המודל

כדי להשתמש ב-Model Armor, צריך להפעיל את ממשקי ה-API של Model Armor.

המסוף

  1. מפעילים את Model Armor API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של שימוש בשירות' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

  2. בוחרים את הפרויקט שבו רוצים להפעיל את Model Armor.

gcloud

לפני שמתחילים, צריך לבצע את השלבים הבאים באמצעות ה-CLI של gcloud עם הגנה מוגברת על המודל:

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. ‫Cloud Shell היא סביבת מעטפת שבה ה-CLI של gcloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  2. מריצים את הפקודה הבאה כדי להגדיר את נקודת הקצה של ה-API לשירות Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    מחליפים את LOCATION באזור שבו רוצים להשתמש בהגנה מוגברת על המודל.

הגדרת הגנה לשרתי MCP של Google ושרתי MCP מרוחקים Google Cloud

כדי להגן על השיחות והתשובות של כלי ה-MCP, אפשר להשתמש בהגדרות של Model Armor. הגדרת רמת בסיס מגדירה את מסנני האבטחה המינימליים שחלים על הפרויקט. ההגדרה הזו מחילה קבוצה עקבית של מסננים על כל הקריאות והתשובות של כלי MCP בפרויקט.

הגדרת סף תחתון של הגנה מוגברת על המודל עם הפעלת ניקוי נתונים ב-MCP. מידע נוסף זמין במאמר בנושא הגדרת ערכי סף ב-Model Armor.

דוגמה לפקודה:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud .

שימו לב להגדרות הבאות:

  • INSPECT_AND_BLOCK: סוג האכיפה שבודק את התוכן בשרת MCP של Google וחוסם הנחיות ותשובות שתואמות למסננים.
  • ENABLED: ההגדרה שמפעילה מסנן או אכיפה.
  • MEDIUM_AND_ABOVE: רמת המהימנות של ההגדרות של המסנן 'שימוש אחראי ב-AI – מסוכן'. אפשר לשנות את ההגדרה הזו, אבל ערכים נמוכים יותר עלולים להוביל ליותר תוצאות חיוביות כוזבות. מידע נוסף זמין במאמר בנושא רמות הסמך של הגנה מוגברת על המודל.

השבתת סריקת תנועת MCP באמצעות Model Armor

כדי להפסיק את הסריקה האוטומטית של התנועה אל השרתים של Google MCP וממנה על ידי Model Armor, על סמך הגדרות הרצפה של הפרויקט, מריצים את הפקודה הבאה:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud . התכונה Model Armor לא מחילה באופן אוטומטי את הכללים שמוגדרים בהגדרות הרצפה של הפרויקט על תעבורה של שרת Google MCP.

ההגדרות של הסף התחתון של Model Armor וההגדרות הכלליות יכולות להשפיע על יותר דברים מאשר רק על MCP. ‫Model Armor משולב עם שירותים כמו Vertex AI, ולכן כל שינוי שתבצעו בהגדרות של רמת הרצפה יכול להשפיע על סריקת התנועה ועל התנהגויות הבטיחות בכל השירותים המשולבים, ולא רק ב-MCP.

שליטה בשימוש ב-MCP באמצעות כללי מדיניות דחייה ב-IAM

כללי מדיניות הדחייה של ניהול זהויות והרשאות גישה (IAM) עוזרים לכם לאבטח שרתי MCP מרוחקים. Google Cloud כדאי להגדיר את המדיניות הזו כדי לחסום גישה לא רצויה לכלי MCP.

לדוגמה, אתם יכולים לדחות או לאשר גישה על סמך:

  • הקרן
  • מאפייני כלי כמו קריאה בלבד
  • מזהה הלקוח ב-OAuth של האפליקציה

מידע נוסף זמין במאמר שליטה בשימוש ב-MCP באמצעות ניהול זהויות וגישה.

המאמרים הבאים