PesanTunnel MCP

Mengelola tunnel di Console

Buat tunnel, daftarkan sertifikat CA, ambil token tunnel, dan lampirkan server MCP yang di-tunnel ke agen dari Claude Console.

Tunnel MCP sedang dalam pratinjau riset. Minta akses untuk mencobanya.

Halaman ini membahas sisi Console dari deployment MCP tunnels: membuat tunnel, mendaftarkan sertifikat CA Anda, mengambil token tunnel, dan melampirkan server MCP upstream ke agen. Deploy MCP tunnels dengan Helm dan Deploy MCP tunnels dengan Docker Compose membahas cara menjalankan tunnel stack di dalam jaringan Anda.

Prasyarat

Satu atau lebih server MCP yang berjalan di jaringan privat Anda. Tunnel merutekan lalu lintas ke server tersebut; tunnel tidak menghostingnya. Lihat Server MCP jarak jauh untuk contoh yang dapat Anda deploy.
Peran Console dengan izin Manage tunnels, sehingga Anda dapat membuat dan mengarsipkan tunnel, merotasi token, dan mengelola sertifikat. Admin dan pemilik organisasi memilikinya secara default; peran kustom dan pemberian izin per akun juga dapat menyertakannya. Peran tanpa izin ini memiliki akses hanya-baca ke halaman MCP tunnels dan detail tunnel.
Cara bagi stack Anda untuk mengautentikasi ke Tunnels API. Pilih salah satu:
- Akses terprogram (direkomendasikan). Siapkan Workload Identity Federation selama pembuatan tunnel sehingga stack Anda menghasilkan token API berumur pendek dari penyedia identitas Anda, mengambil token tunnel, serta membuat dan mendaftarkan sertifikat CA secara otomatis. Memerlukan izin untuk mengelola aturan federasi, penerbit OIDC yang terdaftar, dan aturan federasi dengan scope org:manage_tunnels.
- Manual. Lewati akses terprogram. Setelah membuat tunnel, dapatkan token tunnel, buat dan daftarkan sertifikat CA sendiri, lalu berikan token dan sertifikat server Anda ke tunnel stack sebagai secret.

Membuat tunnel

Buka halaman MCP tunnels
Di sidebar Console, buka Manage > MCP tunnels. Tunnel memiliki cakupan workspace; tunnel baru akan menjadi milik workspace yang saat ini dipilih di Console, jadi beralihlah workspace terlebih dahulu jika Anda menginginkannya di tempat lain.
Beri nama tunnel
Klik New tunnel dan masukkan nama di dialog Create tunnel. Nama wajib diisi dan mengidentifikasi tunnel dalam daftar, di halaman detail, dan di pemilih server MCP agen. Domain dengan format abcd1234.tunnel.anthropic.com ditetapkan secara otomatis.
Opsional: siapkan akses terprogram
Jika peran Anda dapat mengelola aturan federasi, toggle Set up programmatic access akan muncul (nonaktif secara default). Jika tidak, Console menampilkan pemberitahuan sebagai gantinya dan tunnel stack Anda menggunakan alur manual. Sisa alur pembuatan tetap sama dalam kedua kasus.
Akses terprogram bergantung pada Workload Identity Federation; baca halaman tersebut terlebih dahulu jika Anda belum familier dengan penerbit federasi, aturan, dan akun layanan. Untuk mengaktifkan toggle, Anda memerlukan:
1. Penerbit OIDC yang terdaftar untuk penyedia identitas tempat stack Anda menyajikan token (seperti klaster Kubernetes, AWS IAM, Google Cloud, atau GitHub Actions). Daftarkan satu di Settings > Workload identity > Issuers jika organisasi Anda belum memilikinya.
2. Aturan federasi dengan scope org:manage_tunnels. Mengaktifkan toggle akan menampilkan pemilih Federation rule. Pilih aturan yang sudah ada dengan scope tersebut, atau klik Create federation rule untuk membuatnya secara inline.
3. Akun layanan aturan tersebut ditambahkan ke workspace ini. Tunnels API mengotorisasi berdasarkan keanggotaan workspace akun layanan. Jika Anda membuat tunnel di workspace selain default organisasi, tambahkan akun layanan di Settings > Workspaces dan berikan ID workspace saat deploy (api.wif.workspaceId untuk Helm, ANTHROPIC_WORKSPACE_ID untuk Compose).
Melewati langkah ini sepenuhnya didukung; kedua panduan deploy memiliki tab Without programmatic access.
Buat tunnel
Klik Create tunnel. Console menyediakan tunnel dan membuka halaman detail.

Catat pengidentifikasi deployment

Kedua jalur deploy memerlukan:

ID tunnel (tnl_...), ditampilkan di halaman detail tunnel.
Domain tunnel (abcd1234.tunnel.anthropic.com), ditampilkan di halaman detail tunnel. Digunakan sebagai tunnel_domain proxy dan dalam SAN sertifikat server.

Hal lain yang Anda perlukan bergantung pada mode penyediaan kredensial:

Dengan akses terprogram	Tanpa akses terprogram
ID aturan federasi (`fdrl_...`) dari aturan yang Anda pilih. Aturan ini berada di tingkat organisasi, tidak disimpan pada tunnel; temukan di Settings > Workload identity > Rules.	Token tunnel, ditampilkan dengan ikon mata di samping Token pada halaman detail. Perlakukan sebagai secret. Lihat Mendapatkan detail koneksi.
ID organisasi (sebuah UUID), ditampilkan di .

Organisasi Anda dapat memiliki hingga 10 tunnel aktif. Membuat tunnel tidak membangun konektivitas apa pun; konektivitas terjadi setelah stack Anda terhubung dengan token tunnel dan sertifikat CA terdaftar.

Mendapatkan detail koneksi

Buka tunnel. Halaman detail menampilkan bagian Connection dengan domain dan token serta bagian Certificates.

Field	Deskripsi
Domain	Salin nilai `abcd1234.tunnel.anthropic.com` yang ditetapkan. Rute proxy Anda adalah subdomain dari domain ini.
Token	Klik ikon mata (Show token) untuk mengambil token tunnel, lalu gunakan ikon salin untuk menyalinnya ke penyimpanan secret tunnel stack Anda. Klik Rotate token untuk membatalkan token saat ini dan menerbitkan yang baru.

Setiap penampilan dan rotasi dicatat dalam log aktivitas Compliance API organisasi Anda. Rotasi tidak memutus koneksi cloudflared yang sudah terbentuk, sehingga Anda dapat merotasi, melakukan deploy ulang dengan nilai baru, dan membiarkan koneksi lama berakhir secara bertahap.

Menambahkan sertifikat CA

Anthropic memverifikasi inner TLS ke proxy Anda terhadap sertifikat CA yang Anda daftarkan pada tunnel. Tunnel tanpa sertifikat aktif tidak dapat menerima koneksi, dan tidak muncul di pemilih server MCP agen hingga satu sertifikat terdaftar.

Temukan bagian Certificates
Di halaman detail tunnel, gulir ke bagian Certificates dan klik Add certificate.
Sediakan sertifikat
Klik Choose file untuk memilih file .pem, .crt, atau .cer, seret file ke area teks, atau tempel blok PEM secara langsung. Modal menolak materi kunci privat dan konten yang bukan blok -----BEGIN CERTIFICATE-----. File harus berukuran 8 kB atau lebih kecil.
Tambahkan sertifikat
Klik Add certificate. Fingerprint dan tanggal kedaluwarsa muncul di daftar sertifikat, dan jumlah slot pada header bagian bertambah.

Sebuah tunnel menampung hingga dua sertifikat aktif sehingga Anda dapat merotasi tanpa downtime: daftarkan sertifikat baru bersama yang lama, deploy ulang proxy Anda dengan pasangan kunci baru, konfirmasi lalu lintas mengalir, lalu klik Revoke pada baris sertifikat lama. Sertifikat yang dicabut tetap terlihat dalam daftar dengan badge Revoked.

Deploy tunnel stack

Tunnel sudah ada di Console, tetapi tidak ada lalu lintas yang mengalir hingga tunnel stack berjalan di dalam jaringan Anda dan terhubung dengan token tunnel. Ikuti salah satu panduan deploy:

Deploy dengan Docker Compose

Jalankan tunnel stack pada satu host. Mendukung alur akses terprogram dan manual.

Deploy dengan Helm

Jalankan tunnel stack pada klaster Kubernetes. Mendukung alur akses terprogram dan manual.

Menggunakan tunnel dalam agen

Setelah stack Anda berjalan dan memiliki satu atau lebih server MCP yang dikonfigurasi, lampirkan server MCP upstream ke sesi Managed Agent. Untuk memanggil server yang sama dari Messages API, lihat Menggunakan server MCP yang di-tunnel.

Pemilih hanya menampilkan tunnel dengan setidaknya satu sertifikat aktif. Tunnel yang masih menampilkan Needs certificate di daftar MCP tunnels tidak muncul di dropdown; daftarkan sertifikat CA terlebih dahulu. Pemilih juga memiliki cakupan workspace: pemilih mencantumkan tunnel di workspace yang sama dengan sesi, bukan workspace lain.

Buka modal New session
Buka Managed Agents > Sessions dan klik New session.
Definisikan agen inline
Di pemilih agen, pilih Create new agent sehingga Anda dapat mengedit daftar server MCP secara langsung.
Tambahkan server MCP
Klik + MCP Server dan buka dropdown. Tunnel yang dibuat di workspace saat ini muncul di bagian atas daftar, di atas katalog konektor publik. Pilih tunnel yang berada di depan server yang ingin Anda jangkau.
Berikan informasi routing
Kartu menampilkan dua field opsional: Subdomain (ditambahkan sebagai prefiks ke domain tunnel) dan Path (ditambahkan setelahnya). Isi salah satu atau keduanya, tergantung pada bagaimana rute proxy Anda dikonfigurasi. Baris Resolves to menampilkan URL server MCP lengkap yang akan dihubungi oleh agen.

Tunnel membawa lalu lintas; tunnel tidak mengautentikasi ke server MCP upstream. Konfigurasikan OAuth atau autentikasi bearer pada server MCP dengan cara yang sama seperti untuk server MCP lainnya.

Mengarsipkan tunnel

Pengarsipan segera menghentikan tunnel dari menerima koneksi dan bersifat permanen.

Di daftar MCP tunnels, buka menu baris untuk tunnel tersebut dan pilih Archive. Tunnel yang diarsipkan tetap terlihat saat Anda memfilter daftar berdasarkan Archived atau All.

Langkah selanjutnya

Deploy dengan Helm

Instal pada klaster Kubernetes menggunakan Helm chart Anthropic.

Keamanan

Panduan pengerasan keamanan, rotasi kredensial, dan respons pelanggaran.

Was this page helpful?

PesanTunnel MCP

Mengelola tunnel di Console

Buat tunnel, daftarkan sertifikat CA, ambil token tunnel, dan lampirkan server MCP yang di-tunnel ke agen dari Claude Console.

Tunnel MCP sedang dalam pratinjau riset. Minta akses untuk mencobanya.

Prasyarat

Satu atau lebih server MCP yang berjalan di jaringan privat Anda. Tunnel merutekan lalu lintas ke server tersebut; tunnel tidak menghostingnya. Lihat Server MCP jarak jauh untuk contoh yang dapat Anda deploy.
Peran Console dengan izin Manage tunnels, sehingga Anda dapat membuat dan mengarsipkan tunnel, merotasi token, dan mengelola sertifikat. Admin dan pemilik organisasi memilikinya secara default; peran kustom dan pemberian izin per akun juga dapat menyertakannya. Peran tanpa izin ini memiliki akses hanya-baca ke halaman MCP tunnels dan detail tunnel.
Cara bagi stack Anda untuk mengautentikasi ke Tunnels API. Pilih salah satu:
- Akses terprogram (direkomendasikan). Siapkan Workload Identity Federation selama pembuatan tunnel sehingga stack Anda menghasilkan token API berumur pendek dari penyedia identitas Anda, mengambil token tunnel, serta membuat dan mendaftarkan sertifikat CA secara otomatis. Memerlukan izin untuk mengelola aturan federasi, penerbit OIDC yang terdaftar, dan aturan federasi dengan scope org:manage_tunnels.
- Manual. Lewati akses terprogram. Setelah membuat tunnel, dapatkan token tunnel, buat dan daftarkan sertifikat CA sendiri, lalu berikan token dan sertifikat server Anda ke tunnel stack sebagai secret.

Membuat tunnel

Buka halaman MCP tunnels
Di sidebar Console, buka Manage > MCP tunnels. Tunnel memiliki cakupan workspace; tunnel baru akan menjadi milik workspace yang saat ini dipilih di Console, jadi beralihlah workspace terlebih dahulu jika Anda menginginkannya di tempat lain.
Beri nama tunnel
Klik New tunnel dan masukkan nama di dialog Create tunnel. Nama wajib diisi dan mengidentifikasi tunnel dalam daftar, di halaman detail, dan di pemilih server MCP agen. Domain dengan format abcd1234.tunnel.anthropic.com ditetapkan secara otomatis.
Opsional: siapkan akses terprogram
Jika peran Anda dapat mengelola aturan federasi, toggle Set up programmatic access akan muncul (nonaktif secara default). Jika tidak, Console menampilkan pemberitahuan sebagai gantinya dan tunnel stack Anda menggunakan alur manual. Sisa alur pembuatan tetap sama dalam kedua kasus.
Akses terprogram bergantung pada Workload Identity Federation; baca halaman tersebut terlebih dahulu jika Anda belum familier dengan penerbit federasi, aturan, dan akun layanan. Untuk mengaktifkan toggle, Anda memerlukan:
1. Penerbit OIDC yang terdaftar untuk penyedia identitas tempat stack Anda menyajikan token (seperti klaster Kubernetes, AWS IAM, Google Cloud, atau GitHub Actions). Daftarkan satu di Settings > Workload identity > Issuers jika organisasi Anda belum memilikinya.
2. Aturan federasi dengan scope org:manage_tunnels. Mengaktifkan toggle akan menampilkan pemilih Federation rule. Pilih aturan yang sudah ada dengan scope tersebut, atau klik Create federation rule untuk membuatnya secara inline.
3. Akun layanan aturan tersebut ditambahkan ke workspace ini. Tunnels API mengotorisasi berdasarkan keanggotaan workspace akun layanan. Jika Anda membuat tunnel di workspace selain default organisasi, tambahkan akun layanan di Settings > Workspaces dan berikan ID workspace saat deploy (api.wif.workspaceId untuk Helm, ANTHROPIC_WORKSPACE_ID untuk Compose).
Melewati langkah ini sepenuhnya didukung; kedua panduan deploy memiliki tab Without programmatic access.
Buat tunnel
Klik Create tunnel. Console menyediakan tunnel dan membuka halaman detail.

Catat pengidentifikasi deployment

Kedua jalur deploy memerlukan:

ID tunnel (tnl_...), ditampilkan di halaman detail tunnel.
Domain tunnel (abcd1234.tunnel.anthropic.com), ditampilkan di halaman detail tunnel. Digunakan sebagai tunnel_domain proxy dan dalam SAN sertifikat server.

Hal lain yang Anda perlukan bergantung pada mode penyediaan kredensial:

Dengan akses terprogram	Tanpa akses terprogram
ID aturan federasi (`fdrl_...`) dari aturan yang Anda pilih. Aturan ini berada di tingkat organisasi, tidak disimpan pada tunnel; temukan di Settings > Workload identity > Rules.	Token tunnel, ditampilkan dengan ikon mata di samping Token pada halaman detail. Perlakukan sebagai secret. Lihat Mendapatkan detail koneksi.
ID organisasi (sebuah UUID), ditampilkan di .

Mendapatkan detail koneksi

Buka tunnel. Halaman detail menampilkan bagian Connection dengan domain dan token serta bagian Certificates.

Field	Deskripsi
Domain	Salin nilai `abcd1234.tunnel.anthropic.com` yang ditetapkan. Rute proxy Anda adalah subdomain dari domain ini.
Token	Klik ikon mata (Show token) untuk mengambil token tunnel, lalu gunakan ikon salin untuk menyalinnya ke penyimpanan secret tunnel stack Anda. Klik Rotate token untuk membatalkan token saat ini dan menerbitkan yang baru.

Menambahkan sertifikat CA

Temukan bagian Certificates
Di halaman detail tunnel, gulir ke bagian Certificates dan klik Add certificate.
Sediakan sertifikat
Klik Choose file untuk memilih file .pem, .crt, atau .cer, seret file ke area teks, atau tempel blok PEM secara langsung. Modal menolak materi kunci privat dan konten yang bukan blok -----BEGIN CERTIFICATE-----. File harus berukuran 8 kB atau lebih kecil.
Tambahkan sertifikat
Klik Add certificate. Fingerprint dan tanggal kedaluwarsa muncul di daftar sertifikat, dan jumlah slot pada header bagian bertambah.

Deploy tunnel stack

Tunnel sudah ada di Console, tetapi tidak ada lalu lintas yang mengalir hingga tunnel stack berjalan di dalam jaringan Anda dan terhubung dengan token tunnel. Ikuti salah satu panduan deploy:

Deploy dengan Docker Compose

Jalankan tunnel stack pada satu host. Mendukung alur akses terprogram dan manual.

Deploy dengan Helm

Jalankan tunnel stack pada klaster Kubernetes. Mendukung alur akses terprogram dan manual.

Menggunakan tunnel dalam agen

Buka modal New session
Buka Managed Agents > Sessions dan klik New session.
Definisikan agen inline
Di pemilih agen, pilih Create new agent sehingga Anda dapat mengedit daftar server MCP secara langsung.
Tambahkan server MCP
Klik + MCP Server dan buka dropdown. Tunnel yang dibuat di workspace saat ini muncul di bagian atas daftar, di atas katalog konektor publik. Pilih tunnel yang berada di depan server yang ingin Anda jangkau.
Berikan informasi routing
Kartu menampilkan dua field opsional: Subdomain (ditambahkan sebagai prefiks ke domain tunnel) dan Path (ditambahkan setelahnya). Isi salah satu atau keduanya, tergantung pada bagaimana rute proxy Anda dikonfigurasi. Baris Resolves to menampilkan URL server MCP lengkap yang akan dihubungi oleh agen.

Tunnel membawa lalu lintas; tunnel tidak mengautentikasi ke server MCP upstream. Konfigurasikan OAuth atau autentikasi bearer pada server MCP dengan cara yang sama seperti untuk server MCP lainnya.

Mengarsipkan tunnel

Pengarsipan segera menghentikan tunnel dari menerima koneksi dan bersifat permanen.

Di daftar MCP tunnels, buka menu baris untuk tunnel tersebut dan pilih Archive. Tunnel yang diarsipkan tetap terlihat saat Anda memfilter daftar berdasarkan Archived atau All.

Langkah selanjutnya

Deploy dengan Helm

Instal pada klaster Kubernetes menggunakan Helm chart Anthropic.

Keamanan

Panduan pengerasan keamanan, rotasi kredensial, dan respons pelanggaran.

Was this page helpful?