Cloud SQL for SQL Server mit dem Database Insights MCP-Server überwachen

Mit dem Remote-MCP-Server von Database Insights können Sie Cloud SQL for SQL Server-Cluster und ‑Instanzen über Ihre KI-gestützten Entwicklungsumgebungen und KI-Agentenplattformen überwachen, indem Sie Abfrage- und Systemmesswerte abrufen.

In diesem Dokument wird beschrieben, wie Sie den Remote-MCP-Server (Model Context Protocol) von Database Insights verwenden, um Cloud SQL for SQL Server über KI-Anwendungen wie die Gemini CLI, den Agentenmodus in Gemini Code Assist, Claude Code oder in KI-Anwendungen zu überwachen, die Sie entwickeln.

Der Remote-MCP-Server von Database Insights wird aktiviert, wenn Sie Database Insights aktivieren.

Model Context Protocol (MCP) standardisiert die Verbindung von Large Language Models (LLMs) und KI-Anwendungen oder ‑Agenten mit externen Datenquellen. Mit MCP-Servern können Sie ihre Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten von ihrem Back-End-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server
werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standardeingabe- und ‑ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.
Remote-MCP-Server
werden in der Infrastruktur des Dienstes ausgeführt und bieten einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Google- und Google Cloud Remote-MCP-Server

Google- und Google Cloud Remote-MCP-Server haben die folgenden Funktionen und Vorteile:

  • Vereinfachte, zentrale Erkennung.
  • Verwaltete globale oder regionale HTTP-Endpunkte.
  • Detaillierte Autorisierung.
  • Optionale Prompt- und Antwortsicherheit mit Model Armor-Schutz.
  • Zentrale Audit-Protokollierung.

Informationen zu anderen MCP-Servern und zu Sicherheits und Governance-Kontrollen, die für Google Cloud MCP-Server verfügbar sind, finden Sie unter Google Cloud Übersicht über MCP-Server.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto haben, erstellen Sie ein Konto, um zu sehen, wie sich unsere Produkte in realen Szenarien schlagen. Google CloudNeukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Cloud SQL, Database Insights APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installieren Sie die gcloud CLI.

  6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Cloud SQL, Database Insights APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  11. Installieren Sie die gcloud CLI.

  12. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  13. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem Sie den MCP-Server von Database Insights verwenden möchten, um die Berechtigungen zu erhalten, die Sie zur Verwendung des MCP-Servers von Database Insights benötigen:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die zur Verwendung des MCP-Servers von Database Insights erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind für die Verwendung des MCP-Servers von Database Insights erforderlich:

  • MCP-Toolaufrufe ausführen: mcp.tools.call
  • Abfragemesswerte abrufen: queryMetrics.fetch
  • Systemmesswerte abrufen: systemMetrics.fetch
  • Monitoring-Messwerte ansehen: monitoring.timeseries.list

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Authentifizierung und Autorisierung

Der Remote-MCP-Server von Cloud SQL for SQL Server verwendet das OAuth 2.0 -Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server von Database Insights akzeptiert keine API-Schlüssel.

Wir empfehlen, eine separate Identität für Agenten zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.

OAuth-Bereiche für den MCP-Server von Database Insights

Database Insights hat die folgenden OAuth-Bereiche für MCP-Tools:

Bereichs-URI für die gcloud CLI Beschreibung
https://www.googleapis.com/auth/cloud-platform Fragt die Datenbankleistung und Systemmesswerte ab und analysiert sie.

Für die Ressourcen, auf die während eines Toolaufrufs zugegriffen wird, sind möglicherweise zusätzliche Bereiche erforderlich.

MCP-Client für die Verwendung des MCP-Servers von Database Insights konfigurieren

KI-Anwendungen und ‑Agenten wie Claude oder die Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. seinen Namen und seine URL.

Geben Sie für den MCP-Server von Database Insights nach Bedarf Folgendes ein:

  • Servername: MCP-Server von Database Insights
  • Server-URL oder Endpunkt: https://databaseinsights.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Anmeldedaten, Ihre OAuth-Client-ID und Ihren OAuth-Clientschlüssel oder eine Agentenidentität und ‑Anmeldedaten eingeben. Google Cloud Weitere Informationen zur Authentifizierung finden Sie unter Bei MCP-Servern authentifizieren.
  • OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie verwenden möchten, wenn Sie eine Verbindung zum MCP-Server von Database Insights herstellen.

Hostspezifische Anleitungen zum Einrichten und Herstellen einer Verbindung zu einem MCP-Server finden Sie hier:

Allgemeinere Anleitungen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den MCP-Server von Database Insights finden Sie in der MCP-Referenz von Database Insights.

Tools auflisten

Verwenden Sie den MCP-Inspector, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server von Database Insights. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: databaseinsights.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Im Folgenden finden Sie Beispiele für Anwendungsfälle für das Monitoring von Cloud SQL for SQL Server mit dem MCP-Server von Database Insights.

Systemdiagnose

Sie können die Ressourcennutzung Ihrer Cloud SQL for SQL Server-Instanzen überwachen, um sicherzustellen, dass sie die richtige Größe haben und optimal funktionieren.

Beispielprompt:

„Wie hoch war die durchschnittliche CPU-Auslastung und wie viel verfügbarer Arbeitsspeicher war in den letzten 24 Stunden für meine Cloud SQL for SQL Server-Instanz INSTANCE_ID verfügbar?“

Workflow: Der Workflow für eine Systemdiagnose umfasst die folgenden Schritte:

  • Messwerte abrufen: Der Agent ruft mit dem Tool get_system_metrics den Messwert cloudsql.googleapis.com/database/cpu/utilization für die angegebene Instanz ab.

  • Zusammenfassung: Der Agent fasst die Daten für den Zeitraum von 24 Stunden zusammen.

  • Berichterstellung: Der Agent liefert eine Zusammenfassung der CPU- und Arbeitsspeichertrends, benachrichtigt Sie, wenn die Auslastung in der Nähe der Grenzwerte lag.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da Sie mit den MCP-Tools eine Vielzahl von Aktionen ausführen können. Um diese Risiken zu minimieren und zu verwalten, Google Cloud bietet Standardeinstellungen und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud Organisation oder Ihrem Projekt steuern können.

Weitere Informationen zu MCP-Sicherheit und ‑Governance finden Sie unter KI-Sicherheit.

Model Armor verwenden

Model Armor ist ein Google Cloud Dienst, der die Sicherheit und Sicherheit Ihrer KI-Anwendungen verbessern soll. Dazu werden LLM-Prompts und ‑Antworten proaktiv geprüft, um vor verschiedenen Risiken zu schützen und verantwortungsbewusste KI-Praktiken zu unterstützen. Unabhängig davon, ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen, kann Model Armor Ihnen helfen, schädliche Eingaben zu verhindern, die Sicherheit von Inhalten zu überprüfen, sensible Daten zu schützen, die Compliance einzuhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchzusetzen.

Wenn Model Armor mit aktiviertem Logging aktiviert ist, protokolliert Model Armor die gesamte Nutzlast. Dadurch können in Ihren Logs vertrauliche Informationen offengelegt werden.

Model Armor aktivieren

Sie müssen die Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Console

  1. Aktivieren Sie die Model Armor API.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen.

    API aktivieren

  2. Wählen Sie das Projekt aus, in dem Sie Model Armor aktivieren möchten.

gcloud

Führen Sie zuerst die folgenden Schritte mit der gcloud CLI und der Model Armor API aus:

  1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

    Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Befehlszeilenaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der die gcloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  2. Führen Sie den folgenden Befehl aus, um den API-Endpunkt für den Model Armor-Dienst festzulegen.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ersetzen Sie LOCATION durch die Region, in der Sie Model Armor verwenden möchten.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Um Ihre MCP-Toolaufrufe und ‑Antworten zu schützen, können Sie die Mindesteinstellungen für Model Armor verwenden. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Toolaufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Mindesteinstellung für Model Armor ein, bei der die MCP-Bereinigung aktiviert ist. Weitere Informationen finden Sie unter Mindesteinstellungen für Model Armor konfigurieren.

Sehen Sie sich den folgenden Beispielbefehl an:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID Ihres Projekts.

Beachten Sie die folgenden Einstellungen:

  • INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google-MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
  • ENABLED: Die Einstellung, mit der ein Filter oder Erzwingung aktiviert wird.
  • MEDIUM_AND_ABOVE: Das Konfidenzniveau für die Filtereinstellungen „Verantwortungsbewusste Anwendung von KI – Dangerous“. Sie können diese Einstellung ändern, niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Konfidenzniveaus von Model Armor.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie verhindern möchten, dass Model Armor Traffic zu und von Google-MCP-Servern automatisch anhand der Mindesteinstellungen des Projekts scannt, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt ID. Model Armor wendet die in den Mindesteinstellungen dieses Projekts definierten Regeln nicht automatisch auf den Traffic von Google-MCP-Servern an.

Die Mindesteinstellungen und die allgemeine Konfiguration von Model Armor können sich auf mehr als nur MCP auswirken. Da Model Armor in Dienste wie die Agent Platform integriert ist, können sich alle Änderungen, die Sie an den Mindesteinstellungen vornehmen, auf das Scannen von Traffic und das Sicherheitsverhalten aller integrierten Dienste auswirken, nicht nur auf MCP.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

Mit IAM-Ablehnungsrichtlinien (Identity and Access Management) können Sie Remote-MCP-Server besser schützen. Google Cloud Konfigurieren Sie diese Richtlinien, um den unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien verweigern oder zulassen:

  • Der Prinzipal
  • Toolattribute wie „Schreibgeschützt“
  • Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit IAM steuern.

Nächste Schritte