MensajesTúneles MCP

Gestionar túneles en la Consola

Crea túneles, registra certificados de CA, obtén el token del túnel y adjunta servidores MCP tunelizados a agentes desde la Claude Console.

Los túneles MCP están en vista previa de investigación. Solicita acceso para probarlos.

Esta página cubre el lado de la Consola de una implementación de túneles MCP: crear un túnel, registrar tu certificado de CA, obtener el token del túnel y adjuntar los servidores MCP upstream a un agente. Implementar túneles MCP con Helm e Implementar túneles MCP con Docker Compose cubren cómo ejecutar el tunnel stack (pila del túnel) dentro de tu red.

Requisitos previos

Uno o más servidores MCP ejecutándose en tu red privada. El túnel enruta el tráfico hacia ellos; no los aloja. Consulta Servidores MCP remotos para ver ejemplos que puedes implementar.
Un rol de Consola con el permiso Manage tunnels (Gestionar túneles), para que puedas crear y archivar túneles, rotar el token y gestionar certificados. Los administradores y propietarios de la organización lo tienen por defecto; los roles personalizados y las concesiones por cuenta también pueden incluirlo. Los roles sin este permiso tienen acceso de solo lectura a la página MCP tunnels y a los detalles del túnel.
Una forma de que tu stack se autentique ante la Tunnels API. Elige una:
- Acceso programático (recomendado). Configura Workload Identity Federation durante la creación del túnel para que tu stack genere tokens de API de corta duración desde tu proveedor de identidad, obtenga el token del túnel, y genere y registre un certificado de CA automáticamente. Requiere permiso para gestionar reglas de federación, un emisor OIDC registrado y una regla de federación con el scope org:manage_tunnels.
- Manual. Omite el acceso programático. Después de crear el túnel, obtén el token del túnel, genera y registra un certificado de CA tú mismo, y proporciona el token y tu certificado de servidor a tu tunnel stack como secretos.

Crear un túnel

Abre la página de túneles MCP
En la barra lateral de la Consola, ve a Manage > MCP tunnels. Los túneles tienen alcance de workspace; el nuevo túnel pertenece al workspace actualmente seleccionado en la Consola, así que cambia de workspace primero si lo quieres en otro lugar.
Asigna un nombre al túnel
Haz clic en New tunnel e ingresa un nombre en el cuadro de diálogo Create tunnel. El nombre es obligatorio e identifica el túnel en la lista, en la página de detalles y en el selector de servidores MCP del agente. Se asigna automáticamente un dominio con el formato abcd1234.tunnel.anthropic.com.
Opcionalmente configura el acceso programático
Si tu rol puede gestionar reglas de federación, aparece un interruptor Set up programmatic access (desactivado por defecto). Si no, la Consola muestra un aviso en su lugar y tu tunnel stack usa el flujo manual. El resto del flujo de creación es el mismo en ambos casos.
El acceso programático se basa en Workload Identity Federation; lee esa página primero si no estás familiarizado con los emisores de federación, las reglas y las cuentas de servicio. Para activar el interruptor necesitas:
1. Un emisor OIDC registrado para el proveedor de identidad desde el cual tu stack presenta tokens (como un clúster de Kubernetes, AWS IAM, Google Cloud o GitHub Actions). Registra uno en Settings > Workload identity > Issuers si tu organización no tiene uno.
2. Una regla de federación con el scope org:manage_tunnels. Al activar el interruptor se muestra un selector Federation rule. Elige una regla existente con ese scope, o haz clic en Create federation rule para crear una en línea.
3. La cuenta de servicio de la regla agregada a este workspace. La Tunnels API autoriza contra las membresías de workspace de la cuenta de servicio. Si estás creando el túnel en un workspace distinto al predeterminado de la organización, agrega la cuenta de servicio en Settings > Workspaces y pasa el ID del workspace al momento de implementar (api.wif.workspaceId para Helm, ANTHROPIC_WORKSPACE_ID para Compose).
Omitir este paso es totalmente compatible; ambas guías de implementación tienen una pestaña Without programmatic access (Sin acceso programático).
Crea el túnel
Haz clic en Create tunnel. La Consola aprovisiona el túnel y abre la página de detalles.

Registra los identificadores de implementación

Ambas rutas de implementación necesitan:

El ID del túnel (tnl_...), que se muestra en la página de detalles del túnel.
El dominio del túnel (abcd1234.tunnel.anthropic.com), que se muestra en la página de detalles del túnel. Se usa como el tunnel_domain del proxy y en el SAN del certificado del servidor.

Lo demás que necesitas depende del modo de aprovisionamiento de credenciales:

Con acceso programático	Sin acceso programático
El ID de la regla de federación (`fdrl_...`) de la regla que seleccionaste. La regla es a nivel de organización, no se almacena en el túnel; encuéntrala en Settings > Workload identity > Rules.	El token del túnel, que se revela con el icono de ojo junto a Token en la página de detalles. Trátalo como un secreto. Consulta Obtener los detalles de conexión.
El ID de la organización (un UUID), que se muestra en Settings > Organization.	Un certificado de CA que generas y registras en el túnel.

Con acceso programático, tu stack obtiene el token del túnel a través de la Tunnels API, genera la CA y el certificado del servidor localmente (la clave privada nunca sale de tu entorno) y registra únicamente el certificado público de la CA con Anthropic. Sigues siendo responsable de proteger las claves privadas y de renovar el certificado del servidor antes de que expire.

Tu organización puede tener hasta 10 túneles activos. Crear un túnel no establece ninguna conectividad; eso ocurre una vez que tu stack se conecta con el token del túnel y se registra un certificado de CA.

Obtener los detalles de conexión

Abre el túnel. La página de detalles muestra una sección Connection con el dominio y el token, y una sección Certificates.

Campo	Descripción
Domain	Copia el valor asignado `abcd1234.tunnel.anthropic.com`. Las rutas de tu proxy son subdominios de este dominio.
Token	Haz clic en el icono de ojo (Show token) para obtener el token del túnel, luego usa el icono de copiar para copiarlo en el almacén de secretos de tu tunnel stack. Haz clic en Rotate token para invalidar el token actual y emitir uno nuevo.

Cada revelación y rotación se registra en el registro de actividad de la Compliance API de tu organización. La rotación no corta las conexiones de cloudflared que ya están establecidas, por lo que puedes rotar, volver a implementar con el nuevo valor y dejar que las conexiones antiguas se drenen.

Agregar un certificado de CA

Anthropic verifica el TLS interno hacia tu proxy contra los certificados de CA que registras en el túnel. Un túnel sin certificados activos no puede aceptar conexiones y no aparece en el selector de servidores MCP del agente hasta que se registre uno.

Encuentra la sección Certificates
En la página de detalles del túnel, desplázate hasta la sección Certificates y haz clic en Add certificate.
Proporciona el certificado
Haz clic en Choose file para seleccionar un archivo .pem, .crt o .cer, arrastra el archivo al área de texto o pega el bloque PEM directamente. El modal rechaza material de clave privada y contenido que no sea un bloque -----BEGIN CERTIFICATE-----. El archivo debe tener 8 kB o menos.
Agrega el certificado
Haz clic en Add certificate. La huella digital y la fecha de expiración aparecen en la lista de certificados, y el contador de espacios en el encabezado de la sección se incrementa.

Un túnel admite hasta dos certificados activos para que puedas rotar sin tiempo de inactividad: registra el nuevo certificado junto al antiguo, vuelve a implementar tu proxy con el nuevo par de claves, confirma que el tráfico está fluyendo y luego haz clic en Revoke en la fila del certificado antiguo. Los certificados revocados permanecen visibles en la lista con una insignia Revoked.

Implementar el tunnel stack

El túnel existe en la Consola, pero no fluye tráfico hasta que el tunnel stack esté ejecutándose dentro de tu red y conectado con el token del túnel. Sigue una de las guías de implementación:

Implementar con Docker Compose

Ejecuta el tunnel stack en un solo host. Tanto el flujo de acceso programático como el manual.

Implementar con Helm

Ejecuta el tunnel stack en un clúster de Kubernetes. Tanto el flujo de acceso programático como el manual.

Usar el túnel en un agente

Una vez que tu stack esté ejecutándose y tenga uno o más servidores MCP configurados, adjunta un servidor MCP upstream a una sesión de Managed Agent. Para llamar a los mismos servidores desde la Messages API en su lugar, consulta Usar los servidores MCP tunelizados.

El selector solo muestra túneles con al menos un certificado activo. Un túnel que todavía muestra Needs certificate en la lista MCP tunnels no aparece en el menú desplegable; registra primero un certificado de CA. El selector también tiene alcance de workspace: lista los túneles del mismo workspace que la sesión, no de otros workspaces.

Abre el modal New session
Ve a Managed Agents > Sessions y haz clic en New session.
Define un agente en línea
En el selector de agentes, elige Create new agent para poder editar la lista de servidores MCP directamente.
Agrega el servidor MCP
Haz clic en + MCP Server y abre el menú desplegable. Los túneles creados en el workspace actual aparecen en la parte superior de la lista, encima del catálogo de conectores públicos. Selecciona el túnel que da acceso al servidor al que quieres llegar.
Proporciona el enrutamiento
La tarjeta muestra dos campos opcionales: Subdomain (se antepone al dominio del túnel) y Path (se añade después de él). Completa uno o ambos, según cómo estén configuradas las rutas de tu proxy. La línea Resolves to muestra la URL completa del servidor MCP a la que se conecta el agente.

El túnel transporta tráfico; no se autentica ante el servidor MCP upstream. Configura OAuth o autenticación bearer en el servidor MCP de la misma manera que para cualquier otro servidor MCP.

Archivar un túnel

Archivar detiene inmediatamente la aceptación de conexiones por parte del túnel y es permanente.

En la lista MCP tunnels, abre el menú de la fila del túnel y elige Archive. Los túneles archivados permanecen visibles cuando filtras la lista por Archived o All.

Próximos pasos

Implementar con Helm

Instala en un clúster de Kubernetes usando el Helm chart de Anthropic.

Seguridad

Guía de endurecimiento, rotación de credenciales y respuesta ante brechas.

Was this page helpful?

MensajesTúneles MCP

Gestionar túneles en la Consola

Crea túneles, registra certificados de CA, obtén el token del túnel y adjunta servidores MCP tunelizados a agentes desde la Claude Console.

Los túneles MCP están en vista previa de investigación. Solicita acceso para probarlos.

Requisitos previos

Uno o más servidores MCP ejecutándose en tu red privada. El túnel enruta el tráfico hacia ellos; no los aloja. Consulta Servidores MCP remotos para ver ejemplos que puedes implementar.
Un rol de Consola con el permiso Manage tunnels (Gestionar túneles), para que puedas crear y archivar túneles, rotar el token y gestionar certificados. Los administradores y propietarios de la organización lo tienen por defecto; los roles personalizados y las concesiones por cuenta también pueden incluirlo. Los roles sin este permiso tienen acceso de solo lectura a la página MCP tunnels y a los detalles del túnel.
Una forma de que tu stack se autentique ante la Tunnels API. Elige una:
- Acceso programático (recomendado). Configura Workload Identity Federation durante la creación del túnel para que tu stack genere tokens de API de corta duración desde tu proveedor de identidad, obtenga el token del túnel, y genere y registre un certificado de CA automáticamente. Requiere permiso para gestionar reglas de federación, un emisor OIDC registrado y una regla de federación con el scope org:manage_tunnels.
- Manual. Omite el acceso programático. Después de crear el túnel, obtén el token del túnel, genera y registra un certificado de CA tú mismo, y proporciona el token y tu certificado de servidor a tu tunnel stack como secretos.

Crear un túnel

Abre la página de túneles MCP
En la barra lateral de la Consola, ve a Manage > MCP tunnels. Los túneles tienen alcance de workspace; el nuevo túnel pertenece al workspace actualmente seleccionado en la Consola, así que cambia de workspace primero si lo quieres en otro lugar.
Asigna un nombre al túnel
Haz clic en New tunnel e ingresa un nombre en el cuadro de diálogo Create tunnel. El nombre es obligatorio e identifica el túnel en la lista, en la página de detalles y en el selector de servidores MCP del agente. Se asigna automáticamente un dominio con el formato abcd1234.tunnel.anthropic.com.
Opcionalmente configura el acceso programático
Si tu rol puede gestionar reglas de federación, aparece un interruptor Set up programmatic access (desactivado por defecto). Si no, la Consola muestra un aviso en su lugar y tu tunnel stack usa el flujo manual. El resto del flujo de creación es el mismo en ambos casos.
El acceso programático se basa en Workload Identity Federation; lee esa página primero si no estás familiarizado con los emisores de federación, las reglas y las cuentas de servicio. Para activar el interruptor necesitas:
1. Un emisor OIDC registrado para el proveedor de identidad desde el cual tu stack presenta tokens (como un clúster de Kubernetes, AWS IAM, Google Cloud o GitHub Actions). Registra uno en Settings > Workload identity > Issuers si tu organización no tiene uno.
2. Una regla de federación con el scope org:manage_tunnels. Al activar el interruptor se muestra un selector Federation rule. Elige una regla existente con ese scope, o haz clic en Create federation rule para crear una en línea.
3. La cuenta de servicio de la regla agregada a este workspace. La Tunnels API autoriza contra las membresías de workspace de la cuenta de servicio. Si estás creando el túnel en un workspace distinto al predeterminado de la organización, agrega la cuenta de servicio en Settings > Workspaces y pasa el ID del workspace al momento de implementar (api.wif.workspaceId para Helm, ANTHROPIC_WORKSPACE_ID para Compose).
Omitir este paso es totalmente compatible; ambas guías de implementación tienen una pestaña Without programmatic access (Sin acceso programático).
Crea el túnel
Haz clic en Create tunnel. La Consola aprovisiona el túnel y abre la página de detalles.

Registra los identificadores de implementación

Ambas rutas de implementación necesitan:

El ID del túnel (tnl_...), que se muestra en la página de detalles del túnel.
El dominio del túnel (abcd1234.tunnel.anthropic.com), que se muestra en la página de detalles del túnel. Se usa como el tunnel_domain del proxy y en el SAN del certificado del servidor.

Lo demás que necesitas depende del modo de aprovisionamiento de credenciales:

Con acceso programático	Sin acceso programático
El ID de la regla de federación (`fdrl_...`) de la regla que seleccionaste. La regla es a nivel de organización, no se almacena en el túnel; encuéntrala en Settings > Workload identity > Rules.	El token del túnel, que se revela con el icono de ojo junto a Token en la página de detalles. Trátalo como un secreto. Consulta Obtener los detalles de conexión.
El ID de la organización (un UUID), que se muestra en Settings > Organization.	Un certificado de CA que generas y registras en el túnel.

Obtener los detalles de conexión

Abre el túnel. La página de detalles muestra una sección Connection con el dominio y el token, y una sección Certificates.

Campo	Descripción
Domain	Copia el valor asignado `abcd1234.tunnel.anthropic.com`. Las rutas de tu proxy son subdominios de este dominio.
Token	Haz clic en el icono de ojo (Show token) para obtener el token del túnel, luego usa el icono de copiar para copiarlo en el almacén de secretos de tu tunnel stack. Haz clic en Rotate token para invalidar el token actual y emitir uno nuevo.

Agregar un certificado de CA

Encuentra la sección Certificates
En la página de detalles del túnel, desplázate hasta la sección Certificates y haz clic en Add certificate.
Proporciona el certificado
Haz clic en Choose file para seleccionar un archivo .pem, .crt o .cer, arrastra el archivo al área de texto o pega el bloque PEM directamente. El modal rechaza material de clave privada y contenido que no sea un bloque -----BEGIN CERTIFICATE-----. El archivo debe tener 8 kB o menos.
Agrega el certificado
Haz clic en Add certificate. La huella digital y la fecha de expiración aparecen en la lista de certificados, y el contador de espacios en el encabezado de la sección se incrementa.

Implementar el tunnel stack

El túnel existe en la Consola, pero no fluye tráfico hasta que el tunnel stack esté ejecutándose dentro de tu red y conectado con el token del túnel. Sigue una de las guías de implementación:

Implementar con Docker Compose

Ejecuta el tunnel stack en un solo host. Tanto el flujo de acceso programático como el manual.

Implementar con Helm

Ejecuta el tunnel stack en un clúster de Kubernetes. Tanto el flujo de acceso programático como el manual.

Usar el túnel en un agente

Abre el modal New session
Ve a Managed Agents > Sessions y haz clic en New session.
Define un agente en línea
En el selector de agentes, elige Create new agent para poder editar la lista de servidores MCP directamente.
Agrega el servidor MCP
Haz clic en + MCP Server y abre el menú desplegable. Los túneles creados en el workspace actual aparecen en la parte superior de la lista, encima del catálogo de conectores públicos. Selecciona el túnel que da acceso al servidor al que quieres llegar.
Proporciona el enrutamiento
La tarjeta muestra dos campos opcionales: Subdomain (se antepone al dominio del túnel) y Path (se añade después de él). Completa uno o ambos, según cómo estén configuradas las rutas de tu proxy. La línea Resolves to muestra la URL completa del servidor MCP a la que se conecta el agente.

El túnel transporta tráfico; no se autentica ante el servidor MCP upstream. Configura OAuth o autenticación bearer en el servidor MCP de la misma manera que para cualquier otro servidor MCP.

Archivar un túnel

Archivar detiene inmediatamente la aceptación de conexiones por parte del túnel y es permanente.

En la lista MCP tunnels, abre el menú de la fila del túnel y elige Archive. Los túneles archivados permanecen visibles cuando filtras la lista por Archived o All.

Próximos pasos

Implementar con Helm

Instala en un clúster de Kubernetes usando el Helm chart de Anthropic.

Seguridad

Guía de endurecimiento, rotación de credenciales y respuesta ante brechas.

Was this page helpful?