Tunnels MCP

Les tunnels MCP vous permettent de connecter Claude à des serveurs « Model Context Protocol », ou MCP, qui s'exécutent à l'intérieur de votre réseau privé. Le trafic circule via une connexion exclusivement sortante, vous n'avez donc pas besoin d'ouvrir de ports de pare-feu entrants, d'exposer des services à l'Internet public, ni d'ajouter les plages d'adresses IP d'Anthropic à la liste d'autorisation de votre origine.

Pour l'éligibilité à la rétention zéro des données (Zero Data Retention) et au BAA HIPAA, consultez API et rétention des données.



Fonctionnement

La pile de tunnel se compose de deux composants qui s'exécutent à l'intérieur de votre réseau :

• cloudflared : le connecteur de tunnel open source de Cloudflare. Il initie des connexions exclusivement sortantes vers la périphérie du tunnel et transporte le trafic chiffré d'Anthropic vers votre proxy.
• Proxy : le composant de routage d'Anthropic. Il termine le TLS interne, valide que les adresses IP en amont se situent dans une plage autorisée, et achemine chaque requête vers le bon serveur MCP en amont en fonction du nom d'hôte.

Chaque serveur MCP que vous exposez obtient un nom d'hôte sous votre domaine de tunnel (par exemple, docs.<your-tunnel-domain>). Vous attachez ces noms d'hôte à une session Managed Agent dans la Console, ou vous les transmettez à l'API Messages via le connecteur MCP.



Prérequis

Avant le déploiement, assurez-vous de disposer des éléments suivants :

• Une cible de déploiement : un cluster Kubernetes, ou une VM avec Docker et Docker Compose.
• Un tunnel créé dans la Claude Console. Consultez Créer un tunnel.
• Un moyen pour votre pile de s'authentifier auprès de l'API Tunnels. Choisissez l'une des options suivantes :
  • Accès programmatique (recommandé). Configurez la Workload Identity Federation lorsque vous créez le tunnel. Votre pile génère des jetons API de courte durée à partir de votre fournisseur d'identité, récupère le jeton de tunnel, puis génère et enregistre automatiquement un certificat d'autorité de certification (CA). Nécessite l'autorisation de gérer les règles de fédération, un émetteur OIDC enregistré et une règle de fédération avec la portée org:manage_tunnels.
  • Manuel. Fournissez vous-même des identifiants statiques : le jeton de tunnel provenant de la Console et un certificat serveur signé par une CA que vous y enregistrez. Consultez Obtenir les détails de connexion et Ajouter un certificat CA.
• Un ou plusieurs serveurs MCP s'exécutant dans votre réseau privé. Consultez pour des exemples.



Exigences réseau



Modèle de sécurité



Couches de sécurité

Trois couches indépendantes protègent chaque requête :

Le transport du tunnel s'exécute sur le réseau de Cloudflare. Comme le proxy termine le TLS interne à l'aide d'un certificat que vous seul détenez, Cloudflare ne peut pas lire les charges utiles des requêtes ou des réponses. Anthropic ne se connecte pas à un tunnel tant qu'un certificat CA n'est pas enregistré, de sorte que les charges utiles sont toujours chiffrées lorsqu'elles traversent le réseau de Cloudflare. Cloudflare reçoit toutefois des métadonnées de connexion ; consultez Ce que le fournisseur de transport peut observer.



Modèle de responsabilité partagée



Ce que le fournisseur de transport peut observer

Cloudflare fournit le transport sortant. Il ne peut pas lire les charges utiles des requêtes ou des réponses MCP, mais il reçoit les métadonnées de connexion suivantes :

• l'adresse IP de sortie de l'hôte exécutant cloudflared
• une empreinte de l'hôte cloudflared
• la chronologie des connexions et le volume d'octets
• le sous-domaine *.tunnel.anthropic.com attribué à votre tunnel

L'accord d'Anthropic avec Cloudflare restreint l'utilisation de cette télémétrie par Cloudflare. Cloudflare agit en tant que sous-traitant pour cet aperçu de recherche.



Déployer un tunnel

Si vous débutez avec les tunnels MCP, commencez par le démarrage rapide pour obtenir un tunnel fonctionnel en local avant de configurer un déploiement en production.

Pour choisir entre ces options :

• Cible de déploiement
  • Helm pour un déploiement sur Kubernetes.
  • Docker Compose pour un hôte unique ou des tests locaux.
• Authentification pour la configuration
  • Accès programmatique (via Workload Identity Federation) lorsque vous disposez d'un fournisseur d'identité OIDC tel qu'un cluster Kubernetes, un IAM cloud ou SPIFFE.
  • Identifiants manuels lorsque ce n'est pas le cas, ou lorsque vous effectuez des tests.



Utiliser les serveurs MCP tunnelisés

Une fois votre tunnel actif (il dispose d'un certificat CA actif et votre pile de tunnel est connectée), les serveurs MCP en amont sont accessibles depuis Claude Managed Agents et l'API Messages.

Dans les deux cas, le tunnel transporte le trafic chiffré vers votre serveur MCP mais ne s'authentifie pas auprès de celui-ci. Si le serveur MCP en amont nécessite sa propre authentification (OAuth, jeton bearer), fournissez-la de la même manière que pour tout autre serveur MCP ; elle est indépendante du tunnel.



Managed Agents (Console)

1. Dans Managed Agents > Sessions, créez une session et choisissez Create new agent afin de pouvoir modifier la liste des serveurs MCP.
2. Cliquez sur + MCP Server et ouvrez la liste déroulante. Les tunnels de l'espace de travail de la session qui possèdent au moins un certificat actif apparaissent en haut de la liste, au-dessus du catalogue de connecteurs publics.
3. Sélectionnez le tunnel et indiquez le Subdomain que votre proxy achemine vers un serveur MCP spécifique, ainsi que le Path attendu par le serveur MCP en amont. La ligne Resolves to affiche l'URL exacte.



API Messages

Transmettez l'URL du serveur MCP en amont dans le tableau mcp_servers, de la même manière que pour tout autre serveur MCP distant. Le corps de la requête et l'en-tête anthropic-beta suivent le format standard du connecteur MCP ; seule l'url est spécifique au tunnel. L'exemple suivant utilise l'en-tête bêta mcp-client du connecteur MCP, qui est distinct de la bêta mcp-tunnels utilisée par l'API Tunnels. Utilisez une clé API pour l'espace de travail dans lequel le tunnel a été créé (Console Settings > API keys).

L'hôte de l'URL est <subdomain>.<your-tunnel-domain>. Le chemin dépend de votre serveur MCP en amont, et non du tunnel : le transport streamable-http de FastMCP sert sur /mcp, et d'autres serveurs peuvent utiliser / ou un chemin personnalisé (consultez la documentation du serveur). Le proxy transmet le chemin sans le modifier.

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

Pour des exemples de SDK dans tous les langages, consultez Connecteur MCP ; la seule valeur spécifique au tunnel est l'url.



Étapes suivantes