MessaggiTunnel MCP

Gestire i tunnel nella Console

Crea tunnel, registra certificati CA, recupera il token del tunnel e collega server MCP in tunnel agli agenti dalla Claude Console.

I tunnel MCP sono in anteprima di ricerca. Richiedi l'accesso per provarli.

Questa pagina tratta il lato Console di una distribuzione di tunnel MCP: creare un tunnel, registrare il tuo certificato CA, recuperare il token del tunnel e collegare i server MCP upstream a un agente. Distribuire tunnel MCP con Helm e Distribuire tunnel MCP con Docker Compose trattano l'esecuzione dello stack del tunnel all'interno della tua rete.

Prerequisiti

Uno o più server MCP in esecuzione nella tua rete privata. Il tunnel instrada il traffico verso di essi; non li ospita. Consulta Server MCP remoti per esempi che puoi distribuire.
Un ruolo Console con il permesso Manage tunnels, così da poter creare e archiviare tunnel, ruotare il token e gestire i certificati. Gli amministratori e i proprietari dell'organizzazione lo hanno per impostazione predefinita; anche i ruoli personalizzati e le concessioni per account possono includerlo. I ruoli senza questo permesso hanno accesso in sola lettura alla pagina MCP tunnels e ai dettagli del tunnel.
Un modo per il tuo stack di autenticarsi alla Tunnels API. Scegli uno dei seguenti:
- Accesso programmatico (consigliato). Configura Workload Identity Federation durante la creazione del tunnel in modo che il tuo stack generi token API di breve durata dal tuo identity provider, recuperi il token del tunnel e generi e registri automaticamente un certificato CA. Richiede il permesso di gestire le regole di federazione, un issuer OIDC registrato e una regola di federazione con lo scope org:manage_tunnels.
- Manuale. Salta l'accesso programmatico. Dopo aver creato il tunnel, ottieni il token del tunnel, genera e registra un certificato CA tu stesso, e fornisci il token e il tuo certificato server allo stack del tunnel come secret.

Creare un tunnel

Apri la pagina MCP tunnels
Nella barra laterale della Console, vai su Manage > MCP tunnels. I tunnel hanno ambito di workspace; il nuovo tunnel appartiene al workspace attualmente selezionato nella Console, quindi cambia workspace prima se lo vuoi altrove.
Assegna un nome al tunnel
Fai clic su New tunnel e inserisci un nome nella finestra di dialogo Create tunnel. Il nome è obbligatorio e identifica il tunnel nell'elenco, nella pagina di dettaglio e nel selettore di server MCP dell'agente. Un dominio nella forma abcd1234.tunnel.anthropic.com viene assegnato automaticamente.
Configura opzionalmente l'accesso programmatico
Se il tuo ruolo può gestire le regole di federazione, appare un interruttore Set up programmatic access (disattivato per impostazione predefinita). In caso contrario, la Console mostra un avviso al suo posto e lo stack del tunnel utilizza invece il flusso manuale. Il resto del flusso di creazione è lo stesso in entrambi i casi.
L'accesso programmatico si basa su Workload Identity Federation; leggi prima quella pagina se issuer di federazione, regole e service account non ti sono familiari. Per attivare l'interruttore hai bisogno di:
1. Un issuer OIDC registrato per l'identity provider da cui il tuo stack presenta i token (come un cluster Kubernetes, AWS IAM, Google Cloud o GitHub Actions). Registrane uno in Settings > Workload identity > Issuers se la tua organizzazione non ne ha uno.
2. Una regola di federazione con lo scope org:manage_tunnels. Attivando l'interruttore viene mostrato un selettore Federation rule. Scegli una regola esistente con quello scope, oppure fai clic su Create federation rule per crearne una inline.
3. Il service account della regola aggiunto a questo workspace. La Tunnels API autorizza in base alle appartenenze ai workspace del service account. Se stai creando il tunnel in un workspace diverso da quello predefinito dell'organizzazione, aggiungi il service account in Settings > Workspaces e passa l'ID del workspace al momento della distribuzione (api.wif.workspaceId per Helm, ANTHROPIC_WORKSPACE_ID per Compose).
Saltare questo passaggio è pienamente supportato; entrambe le guide di distribuzione hanno una scheda Without programmatic access.
Crea il tunnel
Fai clic su Create tunnel. La Console esegue il provisioning del tunnel e apre la pagina di dettaglio.

Annota gli identificatori di distribuzione

Entrambi i percorsi di distribuzione richiedono:

L'ID del tunnel (tnl_...), mostrato nella pagina di dettaglio del tunnel.
Il dominio del tunnel (abcd1234.tunnel.anthropic.com), mostrato nella pagina di dettaglio del tunnel. Usato come tunnel_domain del proxy e nel SAN del certificato server.

Cos'altro ti serve dipende dalla modalità di provisioning delle credenziali:

Con accesso programmatico	Senza accesso programmatico
L'ID della regola di federazione (`fdrl_...`) della regola che hai selezionato. La regola è a livello di organizzazione, non memorizzata sul tunnel; la trovi in Settings > Workload identity > Rules.	Il token del tunnel, rivelato con l'icona dell'occhio accanto a Token nella pagina di dettaglio. Trattalo come un secret. Consulta Ottenere i dettagli di connessione.
L'ID dell'organizzazione (un UUID), mostrato in Settings > Organization.	Un certificato CA che generi e registri sul tunnel.

Con l'accesso programmatico, il tuo stack recupera il token del tunnel tramite la Tunnels API, genera la CA e il certificato server localmente (la chiave privata non lascia mai il tuo ambiente) e registra solo il certificato pubblico della CA presso Anthropic. Sei comunque responsabile della protezione delle chiavi private e del rinnovo del certificato server prima della scadenza.

La tua organizzazione può avere fino a 10 tunnel attivi. Creare un tunnel non stabilisce alcuna connettività; ciò avviene una volta che il tuo stack si connette con il token del tunnel e un certificato CA è registrato.

Ottenere i dettagli di connessione

Apri il tunnel. La pagina di dettaglio mostra una sezione Connection con il dominio e il token e una sezione Certificates.

Campo	Descrizione
Domain	Copia il valore `abcd1234.tunnel.anthropic.com` assegnato. Le route del tuo proxy sono sottodomini di questo dominio.
Token	Fai clic sull'icona dell'occhio (Show token) per recuperare il token del tunnel, quindi usa l'icona di copia per copiarlo nel secret store dello stack del tunnel. Fai clic su Rotate token per invalidare il token corrente ed emetterne uno nuovo.

Ogni visualizzazione e rotazione viene registrata nel log delle attività della Compliance API della tua organizzazione. La rotazione non interrompe le connessioni cloudflared già stabilite, quindi puoi ruotare, ridistribuire con il nuovo valore e lasciare che le vecchie connessioni si esauriscano.

Aggiungere un certificato CA

Anthropic verifica l'inner TLS verso il tuo proxy rispetto ai certificati CA che registri sul tunnel. Un tunnel senza certificati attivi non può accettare connessioni e non appare nel selettore di server MCP dell'agente finché non ne viene registrato uno.

Trova la sezione Certificates
Nella pagina di dettaglio del tunnel, scorri fino alla sezione Certificates e fai clic su Add certificate.
Fornisci il certificato
Fai clic su Choose file per selezionare un file .pem, .crt o .cer, trascina il file nell'area di testo oppure incolla direttamente il blocco PEM. La finestra modale rifiuta materiale di chiave privata e contenuto che non sia un blocco -----BEGIN CERTIFICATE-----. Il file deve essere di 8 kB o inferiore.
Aggiungi il certificato
Fai clic su Add certificate. L'impronta digitale e la scadenza appaiono nell'elenco dei certificati, e il conteggio degli slot nell'intestazione della sezione viene incrementato.

Un tunnel contiene fino a due certificati attivi così da poter ruotare senza tempi di inattività: registra il nuovo certificato insieme a quello vecchio, ridistribuisci il tuo proxy con la nuova coppia di chiavi, conferma che il traffico stia fluendo, quindi fai clic su Revoke nella riga del vecchio certificato. I certificati revocati rimangono visibili nell'elenco con un badge Revoked.

Distribuire lo stack del tunnel

Il tunnel esiste nella Console, ma nessun traffico fluisce finché lo stack del tunnel non è in esecuzione all'interno della tua rete e connesso con il token del tunnel. Segui una delle guide di distribuzione:

Distribuire con Docker Compose

Esegui lo stack del tunnel su un singolo host. Sia flusso con accesso programmatico che manuale.

Distribuire con Helm

Esegui lo stack del tunnel su un cluster Kubernetes. Sia flusso con accesso programmatico che manuale.

Usare il tunnel in un agente

Una volta che il tuo stack è in esecuzione e ha uno o più server MCP configurati, collega un server MCP upstream a una sessione Managed Agent. Per chiamare gli stessi server dalla Messages API, consulta invece Usare i server MCP in tunnel.

Il selettore mostra solo i tunnel con almeno un certificato attivo. Un tunnel che mostra ancora Needs certificate nell'elenco MCP tunnels non appare nel menu a discesa; registra prima un certificato CA. Il selettore ha anche ambito di workspace: elenca i tunnel nello stesso workspace della sessione, non di altri workspace.

Apri la finestra modale New session
Vai su Managed Agents > Sessions e fai clic su New session.
Definisci un agente inline
Nel selettore dell'agente, scegli Create new agent così da poter modificare direttamente l'elenco dei server MCP.
Aggiungi il server MCP
Fai clic su + MCP Server e apri il menu a discesa. I tunnel creati nel workspace corrente appaiono in cima all'elenco, sopra il catalogo dei connettori pubblici. Seleziona il tunnel che fa da frontend al server che vuoi raggiungere.
Fornisci il routing
La scheda mostra due campi opzionali: Subdomain (anteposto al dominio del tunnel) e Path (aggiunto dopo di esso). Compila uno o entrambi, a seconda di come sono configurate le route del tuo proxy. La riga Resolves to mostra l'URL completo del server MCP a cui l'agente si connette.

Il tunnel trasporta il traffico; non si autentica al server MCP upstream. Configura OAuth o l'autenticazione bearer sul server MCP nello stesso modo in cui faresti per qualsiasi altro server MCP.

Archiviare un tunnel

L'archiviazione impedisce immediatamente al tunnel di accettare connessioni ed è permanente.

Nell'elenco MCP tunnels, apri il menu della riga per il tunnel e scegli Archive. I tunnel archiviati rimangono visibili quando filtri l'elenco per Archived o All.

Passaggi successivi

Distribuire con Helm

Installa su un cluster Kubernetes usando il chart Helm di Anthropic.

Sicurezza

Indicazioni per l'hardening, rotazione delle credenziali e risposta alle violazioni.

Was this page helpful?

MessaggiTunnel MCP

Gestire i tunnel nella Console

Crea tunnel, registra certificati CA, recupera il token del tunnel e collega server MCP in tunnel agli agenti dalla Claude Console.

I tunnel MCP sono in anteprima di ricerca. Richiedi l'accesso per provarli.

Prerequisiti

Uno o più server MCP in esecuzione nella tua rete privata. Il tunnel instrada il traffico verso di essi; non li ospita. Consulta Server MCP remoti per esempi che puoi distribuire.
Un ruolo Console con il permesso Manage tunnels, così da poter creare e archiviare tunnel, ruotare il token e gestire i certificati. Gli amministratori e i proprietari dell'organizzazione lo hanno per impostazione predefinita; anche i ruoli personalizzati e le concessioni per account possono includerlo. I ruoli senza questo permesso hanno accesso in sola lettura alla pagina MCP tunnels e ai dettagli del tunnel.
Un modo per il tuo stack di autenticarsi alla Tunnels API. Scegli uno dei seguenti:
- Accesso programmatico (consigliato). Configura Workload Identity Federation durante la creazione del tunnel in modo che il tuo stack generi token API di breve durata dal tuo identity provider, recuperi il token del tunnel e generi e registri automaticamente un certificato CA. Richiede il permesso di gestire le regole di federazione, un issuer OIDC registrato e una regola di federazione con lo scope org:manage_tunnels.
- Manuale. Salta l'accesso programmatico. Dopo aver creato il tunnel, ottieni il token del tunnel, genera e registra un certificato CA tu stesso, e fornisci il token e il tuo certificato server allo stack del tunnel come secret.

Creare un tunnel

Apri la pagina MCP tunnels
Nella barra laterale della Console, vai su Manage > MCP tunnels. I tunnel hanno ambito di workspace; il nuovo tunnel appartiene al workspace attualmente selezionato nella Console, quindi cambia workspace prima se lo vuoi altrove.
Assegna un nome al tunnel
Fai clic su New tunnel e inserisci un nome nella finestra di dialogo Create tunnel. Il nome è obbligatorio e identifica il tunnel nell'elenco, nella pagina di dettaglio e nel selettore di server MCP dell'agente. Un dominio nella forma abcd1234.tunnel.anthropic.com viene assegnato automaticamente.
Configura opzionalmente l'accesso programmatico
Se il tuo ruolo può gestire le regole di federazione, appare un interruttore Set up programmatic access (disattivato per impostazione predefinita). In caso contrario, la Console mostra un avviso al suo posto e lo stack del tunnel utilizza invece il flusso manuale. Il resto del flusso di creazione è lo stesso in entrambi i casi.
L'accesso programmatico si basa su Workload Identity Federation; leggi prima quella pagina se issuer di federazione, regole e service account non ti sono familiari. Per attivare l'interruttore hai bisogno di:
1. Un issuer OIDC registrato per l'identity provider da cui il tuo stack presenta i token (come un cluster Kubernetes, AWS IAM, Google Cloud o GitHub Actions). Registrane uno in Settings > Workload identity > Issuers se la tua organizzazione non ne ha uno.
2. Una regola di federazione con lo scope org:manage_tunnels. Attivando l'interruttore viene mostrato un selettore Federation rule. Scegli una regola esistente con quello scope, oppure fai clic su Create federation rule per crearne una inline.
3. Il service account della regola aggiunto a questo workspace. La Tunnels API autorizza in base alle appartenenze ai workspace del service account. Se stai creando il tunnel in un workspace diverso da quello predefinito dell'organizzazione, aggiungi il service account in Settings > Workspaces e passa l'ID del workspace al momento della distribuzione (api.wif.workspaceId per Helm, ANTHROPIC_WORKSPACE_ID per Compose).
Saltare questo passaggio è pienamente supportato; entrambe le guide di distribuzione hanno una scheda Without programmatic access.
Crea il tunnel
Fai clic su Create tunnel. La Console esegue il provisioning del tunnel e apre la pagina di dettaglio.

Annota gli identificatori di distribuzione

Entrambi i percorsi di distribuzione richiedono:

L'ID del tunnel (tnl_...), mostrato nella pagina di dettaglio del tunnel.
Il dominio del tunnel (abcd1234.tunnel.anthropic.com), mostrato nella pagina di dettaglio del tunnel. Usato come tunnel_domain del proxy e nel SAN del certificato server.

Cos'altro ti serve dipende dalla modalità di provisioning delle credenziali:

Con accesso programmatico	Senza accesso programmatico
L'ID della regola di federazione (`fdrl_...`) della regola che hai selezionato. La regola è a livello di organizzazione, non memorizzata sul tunnel; la trovi in Settings > Workload identity > Rules.	Il token del tunnel, rivelato con l'icona dell'occhio accanto a Token nella pagina di dettaglio. Trattalo come un secret. Consulta Ottenere i dettagli di connessione.
L'ID dell'organizzazione (un UUID), mostrato in Settings > Organization.	Un certificato CA che generi e registri sul tunnel.

Ottenere i dettagli di connessione

Apri il tunnel. La pagina di dettaglio mostra una sezione Connection con il dominio e il token e una sezione Certificates.

Campo	Descrizione
Domain	Copia il valore `abcd1234.tunnel.anthropic.com` assegnato. Le route del tuo proxy sono sottodomini di questo dominio.
Token	Fai clic sull'icona dell'occhio (Show token) per recuperare il token del tunnel, quindi usa l'icona di copia per copiarlo nel secret store dello stack del tunnel. Fai clic su Rotate token per invalidare il token corrente ed emetterne uno nuovo.

Aggiungere un certificato CA

Trova la sezione Certificates
Nella pagina di dettaglio del tunnel, scorri fino alla sezione Certificates e fai clic su Add certificate.
Fornisci il certificato
Fai clic su Choose file per selezionare un file .pem, .crt o .cer, trascina il file nell'area di testo oppure incolla direttamente il blocco PEM. La finestra modale rifiuta materiale di chiave privata e contenuto che non sia un blocco -----BEGIN CERTIFICATE-----. Il file deve essere di 8 kB o inferiore.
Aggiungi il certificato
Fai clic su Add certificate. L'impronta digitale e la scadenza appaiono nell'elenco dei certificati, e il conteggio degli slot nell'intestazione della sezione viene incrementato.

Distribuire lo stack del tunnel

Distribuire con Docker Compose

Esegui lo stack del tunnel su un singolo host. Sia flusso con accesso programmatico che manuale.

Distribuire con Helm

Esegui lo stack del tunnel su un cluster Kubernetes. Sia flusso con accesso programmatico che manuale.

Usare il tunnel in un agente

Apri la finestra modale New session
Vai su Managed Agents > Sessions e fai clic su New session.
Definisci un agente inline
Nel selettore dell'agente, scegli Create new agent così da poter modificare direttamente l'elenco dei server MCP.
Aggiungi il server MCP
Fai clic su + MCP Server e apri il menu a discesa. I tunnel creati nel workspace corrente appaiono in cima all'elenco, sopra il catalogo dei connettori pubblici. Seleziona il tunnel che fa da frontend al server che vuoi raggiungere.
Fornisci il routing
La scheda mostra due campi opzionali: Subdomain (anteposto al dominio del tunnel) e Path (aggiunto dopo di esso). Compila uno o entrambi, a seconda di come sono configurate le route del tuo proxy. La riga Resolves to mostra l'URL completo del server MCP a cui l'agente si connette.

Il tunnel trasporta il traffico; non si autentica al server MCP upstream. Configura OAuth o l'autenticazione bearer sul server MCP nello stesso modo in cui faresti per qualsiasi altro server MCP.

Archiviare un tunnel

L'archiviazione impedisce immediatamente al tunnel di accettare connessioni ed è permanente.

Nell'elenco MCP tunnels, apri il menu della riga per il tunnel e scegli Archive. I tunnel archiviati rimangono visibili quando filtri l'elenco per Archived o All.

Passaggi successivi

Distribuire con Helm

Installa su un cluster Kubernetes usando il chart Helm di Anthropic.

Sicurezza

Indicazioni per l'hardening, rotazione delle credenziali e risposta alle violazioni.

Was this page helpful?