MessagesTunnels MCP

Gérer les tunnels dans la Console

Créez des tunnels, enregistrez des certificats CA, récupérez le jeton de tunnel et attachez des serveurs MCP tunnelisés à des agents depuis la Claude Console.

Les tunnels MCP sont en aperçu de recherche. Demandez l'accès pour les essayer.

Cette page couvre la partie Console d'un déploiement de tunnels MCP : création d'un tunnel, enregistrement de votre certificat CA, récupération du jeton de tunnel et attachement des serveurs MCP en amont à un agent. Les pages Déployer des tunnels MCP avec Helm et Déployer des tunnels MCP avec Docker Compose expliquent comment exécuter la pile de tunnel à l'intérieur de votre réseau.

Prérequis

Un ou plusieurs serveurs MCP en cours d'exécution dans votre réseau privé. Le tunnel achemine le trafic vers eux ; il ne les héberge pas. Consultez Serveurs MCP distants pour des exemples que vous pouvez déployer.
Un rôle Console disposant de la permission Manage tunnels, afin de pouvoir créer et archiver des tunnels, effectuer la rotation du jeton et gérer les certificats. Les administrateurs et propriétaires d'organisation en disposent par défaut ; les rôles personnalisés et les attributions par compte peuvent également l'inclure. Les rôles qui n'en disposent pas ont un accès en lecture seule à la page MCP tunnels et aux détails des tunnels.
Un moyen pour votre pile de s'authentifier auprès de l'API Tunnels. Choisissez l'une des options suivantes :
- Accès programmatique (recommandé). Configurez la Workload Identity Federation lors de la création du tunnel afin que votre pile génère des jetons API de courte durée à partir de votre fournisseur d'identité, récupère le jeton de tunnel, puis génère et enregistre automatiquement un certificat CA. Nécessite la permission de gérer les règles de fédération, un émetteur OIDC enregistré et une règle de fédération avec la portée org:manage_tunnels.
- Manuel. Ignorez l'accès programmatique. Après avoir créé le tunnel, obtenez le jeton de tunnel, générez et enregistrez un certificat CA vous-même, puis fournissez le jeton et votre certificat serveur à votre pile de tunnel sous forme de secrets.

Créer un tunnel

Ouvrez la page MCP tunnels
Dans la barre latérale de la Console, accédez à Manage > MCP tunnels. Les tunnels sont limités à un espace de travail ; le nouveau tunnel appartient à l'espace de travail actuellement sélectionné dans la Console. Changez donc d'espace de travail au préalable si vous souhaitez le créer ailleurs.
Nommez le tunnel
Cliquez sur New tunnel et saisissez un nom dans la boîte de dialogue Create tunnel. Le nom est obligatoire et identifie le tunnel dans la liste, sur la page de détails et dans le sélecteur de serveurs MCP de l'agent. Un domaine de la forme abcd1234.tunnel.anthropic.com est attribué automatiquement.
Configurez éventuellement l'accès programmatique
Si votre rôle peut gérer les règles de fédération, un interrupteur Set up programmatic access apparaît (désactivé par défaut). Sinon, la Console affiche un avis à sa place et votre pile de tunnel utilise le flux manuel à la place. Le reste du flux de création est identique dans les deux cas.
L'accès programmatique repose sur la Workload Identity Federation ; lisez d'abord cette page si les émetteurs de fédération, les règles et les comptes de service ne vous sont pas familiers. Pour activer l'interrupteur, vous avez besoin de :
1. Un émetteur OIDC enregistré pour le fournisseur d'identité dont votre pile présente les jetons (tel qu'un cluster Kubernetes, AWS IAM, Google Cloud ou GitHub Actions). Enregistrez-en un sous Settings > Workload identity > Issuers si votre organisation n'en possède pas.
2. Une règle de fédération avec la portée org:manage_tunnels. L'activation de l'interrupteur révèle un sélecteur Federation rule. Choisissez une règle existante avec cette portée, ou cliquez sur Create federation rule pour en créer une directement.
3. Le compte de service de la règle ajouté à cet espace de travail. L'API Tunnels autorise l'accès en fonction des appartenances du compte de service aux espaces de travail. Si vous créez le tunnel dans un espace de travail autre que celui par défaut de l'organisation, ajoutez le compte de service sous Settings > Workspaces et transmettez l'ID de l'espace de travail au moment du déploiement (api.wif.workspaceId pour Helm, ANTHROPIC_WORKSPACE_ID pour Compose).
Ignorer cette étape est entièrement pris en charge ; les deux guides de déploiement comportent un onglet Without programmatic access.
Créez le tunnel
Cliquez sur Create tunnel. La Console provisionne le tunnel et ouvre la page de détails.

Notez les identifiants de déploiement

Les deux méthodes de déploiement nécessitent :

L'ID de tunnel (tnl_...), affiché sur la page de détails du tunnel.
Le domaine du tunnel (abcd1234.tunnel.anthropic.com), affiché sur la page de détails du tunnel. Utilisé comme tunnel_domain du proxy et dans le SAN du certificat serveur.

Les autres éléments nécessaires dépendent du mode de provisionnement des identifiants :

Avec accès programmatique	Sans accès programmatique
L'ID de règle de fédération (`fdrl_...`) de la règle que vous avez sélectionnée. La règle est au niveau de l'organisation, et non stockée sur le tunnel ; retrouvez-la sous Settings > Workload identity > Rules.	Le jeton de tunnel, révélé avec l'icône en forme d'œil à côté de Token sur la page de détails. Traitez-le comme un secret. Voir Obtenir les détails de connexion.
L'ID d'organisation (un UUID), affiché sous Settings > Organization.	Un certificat CA que vous générez et enregistrez sur le tunnel.

Avec l'accès programmatique, votre pile récupère le jeton de tunnel via l'API Tunnels, génère le CA et le certificat serveur localement (la clé privée ne quitte jamais votre environnement) et enregistre uniquement le certificat public du CA auprès d'Anthropic. Vous restez responsable de la sécurisation des clés privées et du renouvellement du certificat serveur avant son expiration.

Votre organisation peut avoir jusqu'à 10 tunnels actifs. La création d'un tunnel n'établit aucune connectivité ; celle-ci s'établit une fois que votre pile se connecte avec le jeton de tunnel et qu'un certificat CA est enregistré.

Obtenir les détails de connexion

Ouvrez le tunnel. La page de détails affiche une section Connection avec le domaine et le jeton, ainsi qu'une section Certificates.

Champ	Description
Domain	Copiez la valeur `abcd1234.tunnel.anthropic.com` attribuée. Les routes de votre proxy sont des sous-domaines de ce domaine.
Token	Cliquez sur l'icône en forme d'œil (Show token) pour récupérer le jeton de tunnel, puis utilisez l'icône de copie pour le copier dans le magasin de secrets de votre pile de tunnel. Cliquez sur Rotate token pour invalider le jeton actuel et en émettre un nouveau.

Chaque révélation et rotation est enregistrée dans le journal d'activité de la Compliance API de votre organisation. La rotation ne coupe pas les connexions cloudflared déjà établies ; vous pouvez donc effectuer la rotation, redéployer avec la nouvelle valeur et laisser les anciennes connexions se vider progressivement.

Ajouter un certificat CA

Anthropic vérifie le TLS interne vers votre proxy par rapport aux certificats CA que vous enregistrez sur le tunnel. Un tunnel sans certificat actif ne peut pas accepter de connexions et n'apparaît pas dans le sélecteur de serveurs MCP de l'agent tant qu'aucun certificat n'est enregistré.

Trouvez la section Certificates
Sur la page de détails du tunnel, faites défiler jusqu'à la section Certificates et cliquez sur Add certificate.
Fournissez le certificat
Cliquez sur Choose file pour sélectionner un fichier .pem, .crt ou .cer, faites glisser le fichier sur la zone de texte, ou collez directement le bloc PEM. La fenêtre modale rejette le matériel de clé privée et tout contenu qui n'est pas un bloc -----BEGIN CERTIFICATE-----. Le fichier doit faire 8 ko ou moins.
Ajoutez le certificat
Cliquez sur Add certificate. L'empreinte et la date d'expiration apparaissent dans la liste des certificats, et le compteur d'emplacements dans l'en-tête de la section s'incrémente.

Un tunnel peut contenir jusqu'à deux certificats actifs afin que vous puissiez effectuer une rotation sans interruption : enregistrez le nouveau certificat à côté de l'ancien, redéployez votre proxy avec la nouvelle paire de clés, confirmez que le trafic circule, puis cliquez sur Revoke sur la ligne de l'ancien certificat. Les certificats révoqués restent visibles dans la liste avec un badge Revoked.

Déployer la pile de tunnel

Le tunnel existe dans la Console, mais aucun trafic ne circule tant que la pile de tunnel n'est pas en cours d'exécution à l'intérieur de votre réseau et connectée avec le jeton de tunnel. Suivez l'un des guides de déploiement :

Déployer avec Docker Compose

Exécutez la pile de tunnel sur un hôte unique. Flux avec accès programmatique et flux manuel.

Déployer avec Helm

Exécutez la pile de tunnel sur un cluster Kubernetes. Flux avec accès programmatique et flux manuel.

Utiliser le tunnel dans un agent

Une fois que votre pile est en cours d'exécution et qu'un ou plusieurs serveurs MCP sont configurés, attachez un serveur MCP en amont à une session Managed Agent. Pour appeler les mêmes serveurs depuis l'API Messages à la place, consultez Utiliser les serveurs MCP tunnelisés.

Le sélecteur n'affiche que les tunnels ayant au moins un certificat actif. Un tunnel qui affiche encore Needs certificate dans la liste MCP tunnels n'apparaît pas dans le menu déroulant ; enregistrez d'abord un certificat CA. Le sélecteur est également limité à l'espace de travail : il répertorie les tunnels du même espace de travail que la session, et non ceux des autres espaces de travail.

Ouvrez la fenêtre modale New session
Accédez à Managed Agents > Sessions et cliquez sur New session.
Définissez un agent en ligne
Dans le sélecteur d'agent, choisissez Create new agent afin de pouvoir modifier directement la liste des serveurs MCP.
Ajoutez le serveur MCP
Cliquez sur + MCP Server et ouvrez le menu déroulant. Les tunnels créés dans l'espace de travail actuel apparaissent en haut de la liste, au-dessus du catalogue de connecteurs publics. Sélectionnez le tunnel qui dessert le serveur que vous souhaitez atteindre.
Fournissez le routage
La carte affiche deux champs facultatifs : Subdomain (préfixé au domaine du tunnel) et Path (ajouté après celui-ci). Remplissez l'un ou les deux, selon la configuration des routes de votre proxy. La ligne Resolves to affiche l'URL complète du serveur MCP à laquelle l'agent se connecte.

Le tunnel transporte le trafic ; il n'authentifie pas auprès du serveur MCP en amont. Configurez OAuth ou l'authentification par jeton porteur sur le serveur MCP de la même manière que pour tout autre serveur MCP.

Archiver un tunnel

L'archivage empêche immédiatement le tunnel d'accepter des connexions et est permanent.

Dans la liste MCP tunnels, ouvrez le menu de la ligne du tunnel et choisissez Archive. Les tunnels archivés restent visibles lorsque vous filtrez la liste par Archived ou All.

Étapes suivantes

Déployer avec Helm

Installez sur un cluster Kubernetes à l'aide du chart Helm d'Anthropic.

Sécurité

Conseils de durcissement, rotation des identifiants et réponse aux violations.

Was this page helpful?

MessagesTunnels MCP

Gérer les tunnels dans la Console

Créez des tunnels, enregistrez des certificats CA, récupérez le jeton de tunnel et attachez des serveurs MCP tunnelisés à des agents depuis la Claude Console.

Les tunnels MCP sont en aperçu de recherche. Demandez l'accès pour les essayer.

Prérequis

Un ou plusieurs serveurs MCP en cours d'exécution dans votre réseau privé. Le tunnel achemine le trafic vers eux ; il ne les héberge pas. Consultez Serveurs MCP distants pour des exemples que vous pouvez déployer.
Un rôle Console disposant de la permission Manage tunnels, afin de pouvoir créer et archiver des tunnels, effectuer la rotation du jeton et gérer les certificats. Les administrateurs et propriétaires d'organisation en disposent par défaut ; les rôles personnalisés et les attributions par compte peuvent également l'inclure. Les rôles qui n'en disposent pas ont un accès en lecture seule à la page MCP tunnels et aux détails des tunnels.
Un moyen pour votre pile de s'authentifier auprès de l'API Tunnels. Choisissez l'une des options suivantes :
- Accès programmatique (recommandé). Configurez la Workload Identity Federation lors de la création du tunnel afin que votre pile génère des jetons API de courte durée à partir de votre fournisseur d'identité, récupère le jeton de tunnel, puis génère et enregistre automatiquement un certificat CA. Nécessite la permission de gérer les règles de fédération, un émetteur OIDC enregistré et une règle de fédération avec la portée org:manage_tunnels.
- Manuel. Ignorez l'accès programmatique. Après avoir créé le tunnel, obtenez le jeton de tunnel, générez et enregistrez un certificat CA vous-même, puis fournissez le jeton et votre certificat serveur à votre pile de tunnel sous forme de secrets.

Créer un tunnel

Ouvrez la page MCP tunnels
Dans la barre latérale de la Console, accédez à Manage > MCP tunnels. Les tunnels sont limités à un espace de travail ; le nouveau tunnel appartient à l'espace de travail actuellement sélectionné dans la Console. Changez donc d'espace de travail au préalable si vous souhaitez le créer ailleurs.
Nommez le tunnel
Cliquez sur New tunnel et saisissez un nom dans la boîte de dialogue Create tunnel. Le nom est obligatoire et identifie le tunnel dans la liste, sur la page de détails et dans le sélecteur de serveurs MCP de l'agent. Un domaine de la forme abcd1234.tunnel.anthropic.com est attribué automatiquement.
Configurez éventuellement l'accès programmatique
Si votre rôle peut gérer les règles de fédération, un interrupteur Set up programmatic access apparaît (désactivé par défaut). Sinon, la Console affiche un avis à sa place et votre pile de tunnel utilise le flux manuel à la place. Le reste du flux de création est identique dans les deux cas.
L'accès programmatique repose sur la Workload Identity Federation ; lisez d'abord cette page si les émetteurs de fédération, les règles et les comptes de service ne vous sont pas familiers. Pour activer l'interrupteur, vous avez besoin de :
1. Un émetteur OIDC enregistré pour le fournisseur d'identité dont votre pile présente les jetons (tel qu'un cluster Kubernetes, AWS IAM, Google Cloud ou GitHub Actions). Enregistrez-en un sous Settings > Workload identity > Issuers si votre organisation n'en possède pas.
2. Une règle de fédération avec la portée org:manage_tunnels. L'activation de l'interrupteur révèle un sélecteur Federation rule. Choisissez une règle existante avec cette portée, ou cliquez sur Create federation rule pour en créer une directement.
3. Le compte de service de la règle ajouté à cet espace de travail. L'API Tunnels autorise l'accès en fonction des appartenances du compte de service aux espaces de travail. Si vous créez le tunnel dans un espace de travail autre que celui par défaut de l'organisation, ajoutez le compte de service sous Settings > Workspaces et transmettez l'ID de l'espace de travail au moment du déploiement (api.wif.workspaceId pour Helm, ANTHROPIC_WORKSPACE_ID pour Compose).
Ignorer cette étape est entièrement pris en charge ; les deux guides de déploiement comportent un onglet Without programmatic access.
Créez le tunnel
Cliquez sur Create tunnel. La Console provisionne le tunnel et ouvre la page de détails.

Notez les identifiants de déploiement

Les deux méthodes de déploiement nécessitent :

L'ID de tunnel (tnl_...), affiché sur la page de détails du tunnel.
Le domaine du tunnel (abcd1234.tunnel.anthropic.com), affiché sur la page de détails du tunnel. Utilisé comme tunnel_domain du proxy et dans le SAN du certificat serveur.

Les autres éléments nécessaires dépendent du mode de provisionnement des identifiants :

Avec accès programmatique	Sans accès programmatique
L'ID de règle de fédération (`fdrl_...`) de la règle que vous avez sélectionnée. La règle est au niveau de l'organisation, et non stockée sur le tunnel ; retrouvez-la sous Settings > Workload identity > Rules.	Le jeton de tunnel, révélé avec l'icône en forme d'œil à côté de Token sur la page de détails. Traitez-le comme un secret. Voir Obtenir les détails de connexion.
L'ID d'organisation (un UUID), affiché sous Settings > Organization.	Un certificat CA que vous générez et enregistrez sur le tunnel.

Obtenir les détails de connexion

Ouvrez le tunnel. La page de détails affiche une section Connection avec le domaine et le jeton, ainsi qu'une section Certificates.

Champ	Description
Domain	Copiez la valeur `abcd1234.tunnel.anthropic.com` attribuée. Les routes de votre proxy sont des sous-domaines de ce domaine.
Token	Cliquez sur l'icône en forme d'œil (Show token) pour récupérer le jeton de tunnel, puis utilisez l'icône de copie pour le copier dans le magasin de secrets de votre pile de tunnel. Cliquez sur Rotate token pour invalider le jeton actuel et en émettre un nouveau.

Ajouter un certificat CA

Trouvez la section Certificates
Sur la page de détails du tunnel, faites défiler jusqu'à la section Certificates et cliquez sur Add certificate.
Fournissez le certificat
Cliquez sur Choose file pour sélectionner un fichier .pem, .crt ou .cer, faites glisser le fichier sur la zone de texte, ou collez directement le bloc PEM. La fenêtre modale rejette le matériel de clé privée et tout contenu qui n'est pas un bloc -----BEGIN CERTIFICATE-----. Le fichier doit faire 8 ko ou moins.
Ajoutez le certificat
Cliquez sur Add certificate. L'empreinte et la date d'expiration apparaissent dans la liste des certificats, et le compteur d'emplacements dans l'en-tête de la section s'incrémente.

Déployer la pile de tunnel

Déployer avec Docker Compose

Exécutez la pile de tunnel sur un hôte unique. Flux avec accès programmatique et flux manuel.

Déployer avec Helm

Exécutez la pile de tunnel sur un cluster Kubernetes. Flux avec accès programmatique et flux manuel.

Utiliser le tunnel dans un agent

Ouvrez la fenêtre modale New session
Accédez à Managed Agents > Sessions et cliquez sur New session.
Définissez un agent en ligne
Dans le sélecteur d'agent, choisissez Create new agent afin de pouvoir modifier directement la liste des serveurs MCP.
Ajoutez le serveur MCP
Cliquez sur + MCP Server et ouvrez le menu déroulant. Les tunnels créés dans l'espace de travail actuel apparaissent en haut de la liste, au-dessus du catalogue de connecteurs publics. Sélectionnez le tunnel qui dessert le serveur que vous souhaitez atteindre.
Fournissez le routage
La carte affiche deux champs facultatifs : Subdomain (préfixé au domaine du tunnel) et Path (ajouté après celui-ci). Remplissez l'un ou les deux, selon la configuration des routes de votre proxy. La ligne Resolves to affiche l'URL complète du serveur MCP à laquelle l'agent se connecte.

Archiver un tunnel

L'archivage empêche immédiatement le tunnel d'accepter des connexions et est permanent.

Dans la liste MCP tunnels, ouvrez le menu de la ligne du tunnel et choisissez Archive. Les tunnels archivés restent visibles lorsque vous filtrez la liste par Archived ou All.

Étapes suivantes

Déployer avec Helm

Installez sur un cluster Kubernetes à l'aide du chart Helm d'Anthropic.

Sécurité

Conseils de durcissement, rotation des identifiants et réponse aux violations.

Was this page helpful?