NachrichtenMCP-Tunnel

Architektur und Komponenten

Kanonische Namen für die Bestandteile einer MCP-Tunnel-Bereitstellung, die zwei Modi zur Bereitstellung von Anmeldedaten und das Verbindungsmodell.

MCP-Tunnel befinden sich in der Research Preview. Zugang anfordern, um sie auszuprobieren.

Diese Seite definiert die Begriffe, die in der gesamten Dokumentation zu MCP-Tunneln verwendet werden. Mehrere Komponenten erscheinen unter unterschiedlichen Namen in Konfigurationsdateien, Container-Images und Fließtext; die folgenden Tabellen geben für jede einen kanonischen Namen an und listen die Aliase auf, die dir begegnen können.

Komponenten

Begriff	Definition	Erscheint auch als
Tunnel-Stack	Die zwei Container, die du innerhalb deines Netzwerks ausführst, um dich mit einem Tunnel zu verbinden: der Proxy und cloudflared. Ein Stack bedient einen Tunnel und kann zur Verfügbarkeit über mehrere Hosts repliziert werden. Bei programmatischem Zugriff läuft die Setup-Komponente neben dem Stack, um Anmeldedaten bereitzustellen.	der Stack, der MCP-Tunnel-Stack, die Tunnel-Bereitstellung, deine Bereitstellung
Proxy	Die Routing-Komponente von Anthropic. Terminiert das innere TLS, validiert, dass Upstream-IPs in einen erlaubten Bereich fallen, und leitet jede Anfrage basierend auf dem Hostnamen an einen Upstream-MCP-Server weiter.	`mcp-proxy` (Image-Name, Compose-Service-Name und Helm-Container-Name), `mcp-gateway` (container-interner Konfigurationspfad `/etc/mcp-gateway/config.yaml` und Helm-Werte-Präfix `gateway.config.*`)
cloudflared	Der Open-Source-Tunnel-Connector von Cloudflare. Initiiert die ausschließlich ausgehenden Verbindungen von deinem Netzwerk zur Tunnel-Edge und transportiert verschlüsselten Datenverkehr zwischen der Edge und dem Proxy. Steht in keinem Zusammenhang mit einem Managed Agent.	der ausgehende Connector, der Tunnel-Connector
Setup-Komponente	Die `setup`-Binary, die im `mcp-proxy`-Image enthalten ist. Bei programmatischem Zugriff authentifiziert sie sich über Workload Identity Federation, ruft das Tunnel-Token ab, generiert eine CA und ein Serverzertifikat und registriert die CA bei Anthropic. Stellt außerdem `renew-cert` bereit.	Setup-Job (der Helm-Pre-Install-Hook), `setup`-Service (das Compose-Profil), Setup-Hook, Setup-Binary, Setup-CLI
Tunnel-Edge	Die Cloudflare-Edge-Server, zu denen cloudflared ausgehende Verbindungen aufbaut (IP-Bereiche `198.41.192.0/19` und `2606:4700:a0::/44`, Port 7844 TCP und UDP). Der darüber laufende Tunnel wird von Anthropic bereitgestellt und gesteuert; Cloudflare betreibt das zugrunde liegende Netzwerk.	die Edge, die von Anthropic betriebene Tunnel-Edge
Inneres TLS	Ein zweiter TLS-Handshake, der innerhalb des Klartext-WebSocket-Streams des Tunnels zwischen dem Backend von Anthropic und deinem Proxy stattfindet. Der Proxy präsentiert ein Serverzertifikat, das von einer CA signiert ist, die du für den Tunnel registriert hast. Da nur du den privaten Schlüssel besitzt, kann der Transportanbieter die Nutzdaten von Anfragen oder Antworten nicht lesen.	der innere TLS-Handshake
Upstream-MCP-Server	Ein MCP-Server, der in deinem privaten Netzwerk läuft und an den der Proxy weiterleitet. Jeder Upstream wird als eine Subdomain unter deiner Tunnel-Domain bereitgestellt.	Upstream, gerouteter MCP-Server, getunnelter MCP-Server

Bereitstellung von Anmeldedaten

Der Tunnel-Stack benötigt zur Laufzeit zwei Anmeldedaten: das Tunnel-Token, das die ausgehende Verbindung von cloudflared authentifiziert, und ein Serverzertifikat, das von einer für den Tunnel registrierten CA signiert ist und das der Proxy während des inneren TLS-Handshakes präsentiert. Es gibt zwei Möglichkeiten, diese bereitzustellen, die in diesem Leitfaden durchgehend als Tab-Paar dargestellt werden.

Modus	Wie Anmeldedaten den Stack erreichen	Helm-Chart-Name	Tab-Beschriftung
Programmatischer Zugriff	Die Setup-Komponente authentifiziert sich über Workload Identity Federation bei der Tunnels-API, ruft das Tunnel-Token ab, generiert lokal eine CA und ein Serverzertifikat und registriert die CA. Kein langlebiges Secret wird von Hand kopiert. Erfordert eine Föderationsregel mit dem Scope `org:manage_tunnels`.	Managed-Modus (`setup.enabled: true`, der Standard)	Mit programmatischem Zugriff
Manuell	Du kopierst das Tunnel-Token aus der Claude Console, generierst selbst eine CA und ein Serverzertifikat (zum Beispiel mit `openssl`), registrierst die CA in der Console und stellst dem Stack das Token und das Zertifikat als Secrets bereit. Es läuft keine Setup-Komponente.	External-Modus (`setup.enabled: false`)	Ohne programmatischen Zugriff

Diese Modi werden in den Bereitstellungsleitfäden auch als der programmatische Ablauf und der manuelle Ablauf bezeichnet.

Verbindungsmodell

In einem Tunnel sind zwei Richtungen im Spiel, und sie zeigen in entgegengesetzte Richtungen:

Verbindungsrichtung: cloudflared baut ausgehende Verbindungen von deinem Netzwerk zur Tunnel-Edge auf. Deine Firewall sieht nur ausgehenden Verkehr auf Port 7844; es wird kein eingehender Port geöffnet.
Anfragerichtung: Sobald diese Verbindung hergestellt ist, laufen MCP-Anfragen darüber von Anthropic in Richtung deines Netzwerks, durch cloudflared zum Proxy und weiter zum Upstream-MCP-Server.

Der Ausdruck „ausschließlich ausgehend" beschreibt die Verbindung, nicht die darüber transportierten Anfragen.

Das innere TLS erstreckt sich zwischen dem Backend von Anthropic und deinem Proxy. cloudflared und die Tunnel-Edge liegen auf der Leitung dazwischen, sehen aber nur Chiffretext; der Proxy ist die erste Stelle innerhalb deines Netzwerks, an der die Nutzdaten von MCP-Anfragen lesbar sind.

Siehe auch

MCP-Tunnel für das Sicherheitsmodell und die Tabelle zur geteilten Verantwortung.
MCP-Tunnel-Referenz für Proxy-Konfigurationsfelder, Zertifikatsanforderungen und die Setup-Komponente.

Was this page helpful?

Komponenten

Begriff	Definition	Erscheint auch als
Tunnel-Stack	Die zwei Container, die du innerhalb deines Netzwerks ausführst, um dich mit einem Tunnel zu verbinden: der Proxy und cloudflared. Ein Stack bedient einen Tunnel und kann zur Verfügbarkeit über mehrere Hosts repliziert werden. Bei programmatischem Zugriff läuft die Setup-Komponente neben dem Stack, um Anmeldedaten bereitzustellen.	der Stack, der MCP-Tunnel-Stack, die Tunnel-Bereitstellung, deine Bereitstellung
Proxy	Die Routing-Komponente von Anthropic. Terminiert das innere TLS, validiert, dass Upstream-IPs in einen erlaubten Bereich fallen, und leitet jede Anfrage basierend auf dem Hostnamen an einen Upstream-MCP-Server weiter.	`mcp-proxy` (Image-Name, Compose-Service-Name und Helm-Container-Name), `mcp-gateway` (container-interner Konfigurationspfad `/etc/mcp-gateway/config.yaml` und Helm-Werte-Präfix `gateway.config.*`)
cloudflared	Der Open-Source-Tunnel-Connector von Cloudflare. Initiiert die ausschließlich ausgehenden Verbindungen von deinem Netzwerk zur Tunnel-Edge und transportiert verschlüsselten Datenverkehr zwischen der Edge und dem Proxy. Steht in keinem Zusammenhang mit einem Managed Agent.	der ausgehende Connector, der Tunnel-Connector
Setup-Komponente	Die `setup`-Binary, die im `mcp-proxy`-Image enthalten ist. Bei programmatischem Zugriff authentifiziert sie sich über Workload Identity Federation, ruft das Tunnel-Token ab, generiert eine CA und ein Serverzertifikat und registriert die CA bei Anthropic. Stellt außerdem `renew-cert` bereit.	Setup-Job (der Helm-Pre-Install-Hook), `setup`-Service (das Compose-Profil), Setup-Hook, Setup-Binary, Setup-CLI
Tunnel-Edge	Die Cloudflare-Edge-Server, zu denen cloudflared ausgehende Verbindungen aufbaut (IP-Bereiche `198.41.192.0/19` und `2606:4700:a0::/44`, Port 7844 TCP und UDP). Der darüber laufende Tunnel wird von Anthropic bereitgestellt und gesteuert; Cloudflare betreibt das zugrunde liegende Netzwerk.	die Edge, die von Anthropic betriebene Tunnel-Edge
Inneres TLS	Ein zweiter TLS-Handshake, der innerhalb des Klartext-WebSocket-Streams des Tunnels zwischen dem Backend von Anthropic und deinem Proxy stattfindet. Der Proxy präsentiert ein Serverzertifikat, das von einer CA signiert ist, die du für den Tunnel registriert hast. Da nur du den privaten Schlüssel besitzt, kann der Transportanbieter die Nutzdaten von Anfragen oder Antworten nicht lesen.	der innere TLS-Handshake
Upstream-MCP-Server	Ein MCP-Server, der in deinem privaten Netzwerk läuft und an den der Proxy weiterleitet. Jeder Upstream wird als eine Subdomain unter deiner Tunnel-Domain bereitgestellt.	Upstream, gerouteter MCP-Server, getunnelter MCP-Server

Bereitstellung von Anmeldedaten

Modus	Wie Anmeldedaten den Stack erreichen	Helm-Chart-Name	Tab-Beschriftung
Programmatischer Zugriff	Die Setup-Komponente authentifiziert sich über Workload Identity Federation bei der Tunnels-API, ruft das Tunnel-Token ab, generiert lokal eine CA und ein Serverzertifikat und registriert die CA. Kein langlebiges Secret wird von Hand kopiert. Erfordert eine Föderationsregel mit dem Scope `org:manage_tunnels`.	Managed-Modus (`setup.enabled: true`, der Standard)	Mit programmatischem Zugriff
Manuell	Du kopierst das Tunnel-Token aus der Claude Console, generierst selbst eine CA und ein Serverzertifikat (zum Beispiel mit `openssl`), registrierst die CA in der Console und stellst dem Stack das Token und das Zertifikat als Secrets bereit. Es läuft keine Setup-Komponente.	External-Modus (`setup.enabled: false`)	Ohne programmatischen Zugriff

Diese Modi werden in den Bereitstellungsleitfäden auch als der programmatische Ablauf und der manuelle Ablauf bezeichnet.

Verbindungsmodell

In einem Tunnel sind zwei Richtungen im Spiel, und sie zeigen in entgegengesetzte Richtungen:

Verbindungsrichtung: cloudflared baut ausgehende Verbindungen von deinem Netzwerk zur Tunnel-Edge auf. Deine Firewall sieht nur ausgehenden Verkehr auf Port 7844; es wird kein eingehender Port geöffnet.

Anfragerichtung: Sobald diese Verbindung hergestellt ist, laufen MCP-Anfragen darüber von Anthropic in Richtung deines Netzwerks, durch cloudflared zum Proxy und weiter zum Upstream-MCP-Server.

Der Ausdruck „ausschließlich ausgehend" beschreibt die Verbindung, nicht die darüber transportierten Anfragen.