MensajesTúneles MCP

Arquitectura y componentes

Nombres canónicos para las partes de un despliegue de túnel MCP, los dos modos de aprovisionamiento de credenciales y el modelo de conexión.

Los túneles MCP están en vista previa de investigación. Solicita acceso para probarlos.

Esta página define los términos utilizados a lo largo de la documentación de túneles MCP. Varios componentes aparecen con nombres diferentes en archivos de configuración, imágenes de contenedores y texto descriptivo; las siguientes tablas proporcionan un nombre canónico para cada uno y enumeran los alias que podrías encontrar.

Componentes

Término	Definición	También aparece como
Tunnel stack	Los dos contenedores que ejecutas dentro de tu red para conectarte a un túnel: el proxy y cloudflared. Un stack sirve a un túnel y puede replicarse en varios hosts para disponibilidad. Con acceso programático, el componente de configuración (setup) se ejecuta junto al stack para aprovisionar credenciales.	the stack, the MCP tunnel stack, the tunnel deployment, your deployment
Proxy	El componente de enrutamiento de Anthropic. Termina el TLS interno, valida que las IP de los servidores upstream estén dentro de un rango permitido y enruta cada solicitud a un servidor MCP upstream según el nombre de host.	`mcp-proxy` (nombre de imagen, nombre de servicio de Compose y nombre de contenedor de Helm), `mcp-gateway` (ruta de configuración interna del contenedor `/etc/mcp-gateway/config.yaml` y prefijo de valores de Helm `gateway.config.*`)
cloudflared	El conector de túnel de código abierto de Cloudflare. Inicia las conexiones exclusivamente salientes desde tu red hacia el edge del túnel y transporta tráfico cifrado entre el edge y el proxy. No está relacionado con un Managed Agent.	the outbound connector, the tunnel connector
Componente de configuración (setup)	El binario `setup`, incluido dentro de la imagen `mcp-proxy`. Con acceso programático, se autentica mediante Workload Identity Federation, obtiene el token del túnel, genera una CA y un certificado de servidor, y registra la CA en Anthropic. También proporciona `renew-cert`.	setup Job (el hook de preinstalación de Helm), servicio `setup` (el perfil de Compose), setup hook, setup binary, setup CLI
Tunnel edge	Los servidores edge de Cloudflare a los que cloudflared se conecta de forma saliente (rangos de IP `198.41.192.0/19` y `2606:4700:a0::/44`, puerto 7844 TCP y UDP). El túnel que se ejecuta sobre ellos es aprovisionado y controlado por Anthropic; Cloudflare opera la red subyacente.	the edge, the Anthropic-operated tunnel edge
TLS interno	Un segundo handshake TLS transportado dentro del flujo WebSocket en texto plano del túnel, entre el backend de Anthropic y tu proxy. El proxy presenta un certificado de servidor firmado por una CA que registraste en el túnel. Dado que solo tú posees la clave privada, el proveedor de transporte no puede leer las cargas útiles de las solicitudes ni de las respuestas.	the inner TLS handshake
Servidor MCP upstream	Un servidor MCP que se ejecuta en tu red privada y al que el proxy enruta las solicitudes. Cada upstream se expone como un subdominio bajo el dominio de tu túnel.	upstream, routed MCP server, tunneled MCP server

Aprovisionamiento de credenciales

El tunnel stack necesita dos credenciales en tiempo de ejecución: el token del túnel, que autentica la conexión saliente de cloudflared, y un certificado de servidor firmado por una CA registrada en el túnel, que el proxy presenta durante el handshake de TLS interno. Hay dos formas de proporcionarlas, presentadas a lo largo de esta guía como un par de pestañas.

Modo	Cómo llegan las credenciales al stack	Nombre en el chart de Helm	Etiqueta de pestaña
Acceso programático	El componente de configuración se autentica ante la API de Tunnels mediante Workload Identity Federation, obtiene el token del túnel, genera una CA y un certificado de servidor localmente, y registra la CA. No se copia ningún secreto de larga duración a mano. Requiere una regla de federación con el scope `org:manage_tunnels`.	Modo gestionado (`setup.enabled: true`, el valor predeterminado)	Con acceso programático
Manual	Copias el token del túnel desde Claude Console, generas tú mismo una CA y un certificado de servidor (por ejemplo, con `openssl`), registras la CA en la Console y proporcionas el token y el certificado al stack como secretos. No se ejecuta ningún componente de configuración.	Modo externo (`setup.enabled: false`)	Sin acceso programático

Estos modos también se denominan el flujo programático y el flujo manual en las guías de despliegue.

Modelo de conexión

En un túnel intervienen dos direcciones, y apuntan en sentidos opuestos:

Dirección de la conexión: cloudflared establece una conexión saliente desde tu red hacia el edge del túnel. Tu firewall solo ve tráfico de salida en el puerto 7844; no se abre ningún puerto de entrada.
Dirección de las solicitudes: una vez establecida esa conexión, las solicitudes MCP viajan desde Anthropic hacia tu red a través de ella, pasando por cloudflared hasta el proxy, y de ahí al servidor MCP upstream.

La expresión "exclusivamente saliente" (outbound-only) describe la conexión, no las solicitudes que se transportan sobre ella.

El TLS interno abarca el backend de Anthropic y tu proxy. cloudflared y el edge del túnel se sitúan entre ambos en el cable, pero solo ven texto cifrado; el proxy es el primer lugar dentro de tu red donde las cargas útiles de las solicitudes MCP son legibles.

Consulta también

Túneles MCP para el modelo de seguridad y la tabla de responsabilidad compartida.
Referencia de túneles MCP para los campos de configuración del proxy, los requisitos de certificados y el componente de configuración.

Was this page helpful?

Componentes

Término	Definición	También aparece como
Tunnel stack	Los dos contenedores que ejecutas dentro de tu red para conectarte a un túnel: el proxy y cloudflared. Un stack sirve a un túnel y puede replicarse en varios hosts para disponibilidad. Con acceso programático, el componente de configuración (setup) se ejecuta junto al stack para aprovisionar credenciales.	the stack, the MCP tunnel stack, the tunnel deployment, your deployment
Proxy	El componente de enrutamiento de Anthropic. Termina el TLS interno, valida que las IP de los servidores upstream estén dentro de un rango permitido y enruta cada solicitud a un servidor MCP upstream según el nombre de host.	`mcp-proxy` (nombre de imagen, nombre de servicio de Compose y nombre de contenedor de Helm), `mcp-gateway` (ruta de configuración interna del contenedor `/etc/mcp-gateway/config.yaml` y prefijo de valores de Helm `gateway.config.*`)
cloudflared	El conector de túnel de código abierto de Cloudflare. Inicia las conexiones exclusivamente salientes desde tu red hacia el edge del túnel y transporta tráfico cifrado entre el edge y el proxy. No está relacionado con un Managed Agent.	the outbound connector, the tunnel connector
Componente de configuración (setup)	El binario `setup`, incluido dentro de la imagen `mcp-proxy`. Con acceso programático, se autentica mediante Workload Identity Federation, obtiene el token del túnel, genera una CA y un certificado de servidor, y registra la CA en Anthropic. También proporciona `renew-cert`.	setup Job (el hook de preinstalación de Helm), servicio `setup` (el perfil de Compose), setup hook, setup binary, setup CLI
Tunnel edge	Los servidores edge de Cloudflare a los que cloudflared se conecta de forma saliente (rangos de IP `198.41.192.0/19` y `2606:4700:a0::/44`, puerto 7844 TCP y UDP). El túnel que se ejecuta sobre ellos es aprovisionado y controlado por Anthropic; Cloudflare opera la red subyacente.	the edge, the Anthropic-operated tunnel edge
TLS interno	Un segundo handshake TLS transportado dentro del flujo WebSocket en texto plano del túnel, entre el backend de Anthropic y tu proxy. El proxy presenta un certificado de servidor firmado por una CA que registraste en el túnel. Dado que solo tú posees la clave privada, el proveedor de transporte no puede leer las cargas útiles de las solicitudes ni de las respuestas.	the inner TLS handshake
Servidor MCP upstream	Un servidor MCP que se ejecuta en tu red privada y al que el proxy enruta las solicitudes. Cada upstream se expone como un subdominio bajo el dominio de tu túnel.	upstream, routed MCP server, tunneled MCP server

Aprovisionamiento de credenciales

Modo	Cómo llegan las credenciales al stack	Nombre en el chart de Helm	Etiqueta de pestaña
Acceso programático	El componente de configuración se autentica ante la API de Tunnels mediante Workload Identity Federation, obtiene el token del túnel, genera una CA y un certificado de servidor localmente, y registra la CA. No se copia ningún secreto de larga duración a mano. Requiere una regla de federación con el scope `org:manage_tunnels`.	Modo gestionado (`setup.enabled: true`, el valor predeterminado)	Con acceso programático
Manual	Copias el token del túnel desde Claude Console, generas tú mismo una CA y un certificado de servidor (por ejemplo, con `openssl`), registras la CA en la Console y proporcionas el token y el certificado al stack como secretos. No se ejecuta ningún componente de configuración.	Modo externo (`setup.enabled: false`)	Sin acceso programático

Estos modos también se denominan el flujo programático y el flujo manual en las guías de despliegue.

Modelo de conexión

En un túnel intervienen dos direcciones, y apuntan en sentidos opuestos:

Dirección de la conexión: cloudflared establece una conexión saliente desde tu red hacia el edge del túnel. Tu firewall solo ve tráfico de salida en el puerto 7844; no se abre ningún puerto de entrada.

Dirección de las solicitudes: una vez establecida esa conexión, las solicitudes MCP viajan desde Anthropic hacia tu red a través de ella, pasando por cloudflared hasta el proxy, y de ahí al servidor MCP upstream.

La expresión "exclusivamente saliente" (outbound-only) describe la conexión, no las solicitudes que se transportan sobre ella.