MessaggiTunnel MCP

Tunnel MCP

Connetti in modo sicuro Claude ai server MCP in esecuzione nella tua rete privata senza aprire porte in ingresso o esporre servizi a Internet pubblico.

I tunnel MCP ti consentono di connettere Claude a server "Model Context Protocol", o MCP, in esecuzione all'interno della tua rete privata. Il traffico scorre su una connessione esclusivamente in uscita, quindi non è necessario aprire porte firewall in ingresso, esporre servizi a Internet pubblico o inserire gli intervalli IP di Anthropic nella allowlist della tua origine.

I tunnel MCP sono in beta (anteprima di ricerca). Richiedi l'accesso per provarli. Sono forniti "così come sono" senza alcun impegno di uptime, supporto o continuità, e dipendono da un provider di rete di terze parti (Cloudflare) che non assume alcun impegno di disponibilità per il trasporto sottostante. Anthropic può modificare o interrompere i tunnel MCP in qualsiasi momento.

Per l'idoneità a Zero Data Retention e HIPAA BAA, consulta API e conservazione dei dati.

Come funziona

Lo stack del tunnel è composto da due componenti che vengono eseguiti all'interno della tua rete:

cloudflared: il connettore tunnel open source di Cloudflare. Avvia connessioni esclusivamente in uscita verso il tunnel edge e trasporta il traffico crittografato da Anthropic al tuo proxy.
Proxy: il componente di routing di Anthropic. Termina l'inner TLS, verifica che gli IP upstream rientrino in un intervallo consentito e instrada ogni richiesta al server MCP upstream corretto in base all'hostname.

Ogni server MCP che esponi ottiene un hostname sotto il dominio del tuo tunnel (ad esempio, docs.<your-tunnel-domain>). Associ questi hostname a una sessione Managed Agent nella Console, oppure li passi alla Messages API tramite il connettore MCP.

Prerequisiti

Prima di eseguire il deployment, assicurati di avere:

Un target di deployment: un cluster Kubernetes o una VM con Docker e Docker Compose.
Un tunnel creato nella Claude Console. Consulta Creare un tunnel.
Un modo per consentire al tuo stack di autenticarsi alla Tunnels API. Scegli una delle seguenti opzioni:
- Accesso programmatico (consigliato). Configura Workload Identity Federation quando crei il tunnel. Il tuo stack genera token API di breve durata dal tuo identity provider, recupera il token del tunnel e genera e registra automaticamente un certificato CA. Richiede l'autorizzazione per gestire le regole di federazione, un issuer OIDC registrato e una regola di federazione con lo scope org:manage_tunnels.
- Manuale. Fornisci tu stesso credenziali statiche: il token del tunnel dalla Console e un certificato server firmato da una CA che registri lì. Consulta Ottenere i dettagli di connessione e Aggiungere un certificato CA.
Uno o più server MCP in esecuzione nella tua rete privata. Consulta Server MCP remoti per esempi.
Connettività in uscita come elencato in Requisiti di rete.

Requisiti di rete

Componente	Destinazione	Porta / protocollo	Utilizzato durante
Componente di setup	`api.anthropic.com`	443 TCP	Provisioning e rotazione dei token
cloudflared	Tunnel edge (`198.41.192.0/19`, `2606:4700:a0::/44`)	7844 TCP e UDP	Runtime
Proxy	I tuoi server MCP upstream	Come configurato	Runtime

Modello di sicurezza

Livelli di sicurezza

Tre livelli indipendenti proteggono ogni richiesta:

Livello	Protegge da
Outer mTLS tra Anthropic e il provider di trasporto, con validazione IP	Client non autorizzati che raggiungono il tunnel
Inner TLS dal backend di Anthropic al tuo proxy	Ispezione del payload da parte del provider di trasporto o di qualsiasi intermediario di rete
OAuth su ciascun server MCP	Uso non autorizzato degli strumenti MCP da parte di traffico tunnel autenticato

Il trasporto del tunnel viene eseguito sulla rete di Cloudflare. Poiché il proxy termina l'inner TLS utilizzando un certificato che solo tu possiedi, Cloudflare non può leggere i payload di richiesta o risposta. Anthropic non si connette a un tunnel finché non viene registrato un certificato CA, quindi i payload sono sempre crittografati quando attraversano la rete di Cloudflare. Cloudflare riceve comunque metadati di connessione; consulta Cosa può osservare il provider di trasporto.

Modello di responsabilità condivisa

Anthropic gestisce	La tua organizzazione gestisce
Controllo degli accessi al tunnel	Tutti i contenuti e il traffico che transitano nel tuo tunnel, e la conformità alle policy di uso accettabile di terze parti applicabili (incluse quelle di Cloudflare)
Validazione del tuo certificato CA prima di connettersi al tuo proxy	Aderenza alle indicazioni di deployment presenti in queste pagine
Garantire che Claude invii richieste solo ai tunnel di proprietà della tua organizzazione	Protezione dei token del tunnel e delle chiavi private TLS
	Gestione del certificato server e rinnovo prima della scadenza
	Configurazione di OAuth su ciascun server MCP
	Limitazione dell'accesso di rete per il proxy e i server MCP
	Notifica ad Anthropic in caso di sospetta violazione

Se un attaccante ottiene il token del tuo tunnel e una delle tue chiavi private TLS, potrebbe impersonare il tuo proxy e leggere i payload delle richieste MCP. Tratta entrambi come segreti di alto valore. Consulta Sicurezza dei tunnel MCP per indicazioni sull'hardening.

Cosa può osservare il provider di trasporto

Cloudflare fornisce il trasporto in uscita. Non può leggere i payload di richiesta o risposta MCP, ma riceve i seguenti metadati di connessione:

l'indirizzo IP di uscita dell'host che esegue cloudflared
un fingerprint dell'host cloudflared
tempistiche di connessione e volume di byte
il sottodominio *.tunnel.anthropic.com assegnato al tuo tunnel

L'accordo di Anthropic con Cloudflare limita l'uso di questa telemetria da parte di Cloudflare. Cloudflare agisce come subprocessor per questa anteprima di ricerca.

Eseguire il deployment di un tunnel

Se sei nuovo ai tunnel MCP, inizia con il quickstart per ottenere un tunnel funzionante in locale prima di configurare un deployment di produzione.

Quickstart

Il percorso più breve per un tunnel funzionante: Docker Compose con un server MCP di esempio.

Deployment con Helm

Installa su un cluster Kubernetes utilizzando l'Helm chart di Anthropic.

Deployment con Docker Compose

Installa su una VM utilizzando Docker Compose.

Come scegliere tra le opzioni:

Target di deployment
- Helm quando esegui il deployment su Kubernetes.
- Docker Compose per un singolo host o test locali.
Autenticazione per il setup
- Accesso programmatico (tramite Workload Identity Federation) quando disponi di un identity provider OIDC come un cluster Kubernetes, cloud IAM o SPIFFE.
- Credenziali manuali quando non ne disponi, o quando stai eseguendo test.

Utilizzare i server MCP in tunnel

Una volta che il tuo tunnel è attivo (ha un certificato CA attivo e il tuo stack del tunnel è connesso), i server MCP upstream sono raggiungibili da Claude Managed Agents e dalla Messages API.

I tunnel MCP creati tramite la Console non sono disponibili come connettori in claude.ai.

In entrambi i casi, il tunnel trasporta traffico crittografato al tuo server MCP ma non si autentica ad esso. Se il server MCP upstream richiede una propria autenticazione (OAuth, bearer token), forniscila nello stesso modo in cui faresti per qualsiasi altro server MCP; è indipendente dal tunnel.

Managed Agents (Console)

In Managed Agents > Sessions, crea una sessione e scegli Create new agent in modo da poter modificare l'elenco dei server MCP.
Fai clic su + MCP Server e apri il menu a discesa. I tunnel nel workspace della sessione che hanno almeno un certificato attivo appaiono in cima all'elenco, sopra il catalogo dei connettori pubblici.
Seleziona il tunnel e fornisci il Subdomain che il tuo proxy instrada a uno specifico server MCP, e il Path che il server MCP upstream si aspetta. La riga Resolves to mostra l'URL esatto.

Messages API

Passa l'URL del server MCP upstream nell'array mcp_servers, nello stesso modo di qualsiasi altro server MCP remoto. Il corpo della richiesta e l'header anthropic-beta seguono il formato standard del connettore MCP; solo l'url è specifico del tunnel. L'esempio seguente utilizza il beta header mcp-client del connettore MCP, che è separato dal beta mcp-tunnels utilizzato dalla Tunnels API. Usa una chiave API per il workspace in cui è stato creato il tunnel (Console Settings > API keys).

L'host dell'URL è <subdomain>.<your-tunnel-domain>. Il path dipende dal tuo server MCP upstream, non dal tunnel: il trasporto streamable-http di FastMCP serve su /mcp, e altri server possono utilizzare / o un path personalizzato (consulta la documentazione del server). Il proxy inoltra il path senza modificarlo.

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

Per esempi SDK in ogni linguaggio, consulta Connettore MCP; l'unico valore specifico del tunnel è l'url.

Passaggi successivi

Sicurezza

Indicazioni sull'hardening, rotazione delle credenziali e risposta alle violazioni.

Risoluzione dei problemi

Diagnostica problemi di connettività, TLS e routing.

Riferimento

Campi di configurazione del proxy, la Tunnels API, requisiti dei certificati e il componente di setup.

Connettore MCP

Usa i server in tunnel dalla Messages API.

Was this page helpful?

MessaggiTunnel MCP

Tunnel MCP

Connetti in modo sicuro Claude ai server MCP in esecuzione nella tua rete privata senza aprire porte in ingresso o esporre servizi a Internet pubblico.

Per l'idoneità a Zero Data Retention e HIPAA BAA, consulta API e conservazione dei dati.

Come funziona

Lo stack del tunnel è composto da due componenti che vengono eseguiti all'interno della tua rete:

cloudflared: il connettore tunnel open source di Cloudflare. Avvia connessioni esclusivamente in uscita verso il tunnel edge e trasporta il traffico crittografato da Anthropic al tuo proxy.
Proxy: il componente di routing di Anthropic. Termina l'inner TLS, verifica che gli IP upstream rientrino in un intervallo consentito e instrada ogni richiesta al server MCP upstream corretto in base all'hostname.

Prerequisiti

Prima di eseguire il deployment, assicurati di avere:

Un target di deployment: un cluster Kubernetes o una VM con Docker e Docker Compose.
Un tunnel creato nella Claude Console. Consulta Creare un tunnel.
Un modo per consentire al tuo stack di autenticarsi alla Tunnels API. Scegli una delle seguenti opzioni:
- Accesso programmatico (consigliato). Configura Workload Identity Federation quando crei il tunnel. Il tuo stack genera token API di breve durata dal tuo identity provider, recupera il token del tunnel e genera e registra automaticamente un certificato CA. Richiede l'autorizzazione per gestire le regole di federazione, un issuer OIDC registrato e una regola di federazione con lo scope org:manage_tunnels.
- Manuale. Fornisci tu stesso credenziali statiche: il token del tunnel dalla Console e un certificato server firmato da una CA che registri lì. Consulta Ottenere i dettagli di connessione e Aggiungere un certificato CA.
Uno o più server MCP in esecuzione nella tua rete privata. Consulta Server MCP remoti per esempi.
Connettività in uscita come elencato in Requisiti di rete.

Requisiti di rete

Componente	Destinazione	Porta / protocollo	Utilizzato durante
Componente di setup	`api.anthropic.com`	443 TCP	Provisioning e rotazione dei token
cloudflared	Tunnel edge (`198.41.192.0/19`, `2606:4700:a0::/44`)	7844 TCP e UDP	Runtime
Proxy	I tuoi server MCP upstream	Come configurato	Runtime

Modello di sicurezza

Livelli di sicurezza

Tre livelli indipendenti proteggono ogni richiesta:

Livello	Protegge da
Outer mTLS tra Anthropic e il provider di trasporto, con validazione IP	Client non autorizzati che raggiungono il tunnel
Inner TLS dal backend di Anthropic al tuo proxy	Ispezione del payload da parte del provider di trasporto o di qualsiasi intermediario di rete
OAuth su ciascun server MCP	Uso non autorizzato degli strumenti MCP da parte di traffico tunnel autenticato

Modello di responsabilità condivisa

Anthropic gestisce	La tua organizzazione gestisce
Controllo degli accessi al tunnel	Tutti i contenuti e il traffico che transitano nel tuo tunnel, e la conformità alle policy di uso accettabile di terze parti applicabili (incluse quelle di Cloudflare)
Validazione del tuo certificato CA prima di connettersi al tuo proxy	Aderenza alle indicazioni di deployment presenti in queste pagine
Garantire che Claude invii richieste solo ai tunnel di proprietà della tua organizzazione	Protezione dei token del tunnel e delle chiavi private TLS
	Gestione del certificato server e rinnovo prima della scadenza
	Configurazione di OAuth su ciascun server MCP
	Limitazione dell'accesso di rete per il proxy e i server MCP
	Notifica ad Anthropic in caso di sospetta violazione

Cosa può osservare il provider di trasporto

Cloudflare fornisce il trasporto in uscita. Non può leggere i payload di richiesta o risposta MCP, ma riceve i seguenti metadati di connessione:

l'indirizzo IP di uscita dell'host che esegue cloudflared
un fingerprint dell'host cloudflared
tempistiche di connessione e volume di byte
il sottodominio *.tunnel.anthropic.com assegnato al tuo tunnel

L'accordo di Anthropic con Cloudflare limita l'uso di questa telemetria da parte di Cloudflare. Cloudflare agisce come subprocessor per questa anteprima di ricerca.

Eseguire il deployment di un tunnel

Se sei nuovo ai tunnel MCP, inizia con il quickstart per ottenere un tunnel funzionante in locale prima di configurare un deployment di produzione.

Quickstart

Il percorso più breve per un tunnel funzionante: Docker Compose con un server MCP di esempio.

Deployment con Helm

Installa su un cluster Kubernetes utilizzando l'Helm chart di Anthropic.

Deployment con Docker Compose

Installa su una VM utilizzando Docker Compose.

Come scegliere tra le opzioni:

Target di deployment
- Helm quando esegui il deployment su Kubernetes.
- Docker Compose per un singolo host o test locali.
Autenticazione per il setup
- Accesso programmatico (tramite Workload Identity Federation) quando disponi di un identity provider OIDC come un cluster Kubernetes, cloud IAM o SPIFFE.
- Credenziali manuali quando non ne disponi, o quando stai eseguendo test.

Utilizzare i server MCP in tunnel

Una volta che il tuo tunnel è attivo (ha un certificato CA attivo e il tuo stack del tunnel è connesso), i server MCP upstream sono raggiungibili da Claude Managed Agents e dalla Messages API.

I tunnel MCP creati tramite la Console non sono disponibili come connettori in claude.ai.

Managed Agents (Console)

In Managed Agents > Sessions, crea una sessione e scegli Create new agent in modo da poter modificare l'elenco dei server MCP.
Fai clic su + MCP Server e apri il menu a discesa. I tunnel nel workspace della sessione che hanno almeno un certificato attivo appaiono in cima all'elenco, sopra il catalogo dei connettori pubblici.
Seleziona il tunnel e fornisci il Subdomain che il tuo proxy instrada a uno specifico server MCP, e il Path che il server MCP upstream si aspetta. La riga Resolves to mostra l'URL esatto.

Messages API

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

Per esempi SDK in ogni linguaggio, consulta Connettore MCP; l'unico valore specifico del tunnel è l'url.

Passaggi successivi

Sicurezza

Indicazioni sull'hardening, rotazione delle credenziali e risposta alle violazioni.

Risoluzione dei problemi

Diagnostica problemi di connettività, TLS e routing.

Riferimento

Campi di configurazione del proxy, la Tunnels API, requisiti dei certificati e il componente di setup.

Connettore MCP

Usa i server in tunnel dalla Messages API.

Was this page helpful?