メッセージMCPトンネル

アーキテクチャとコンポーネント

MCPトンネルデプロイメントの各部分の正式名称、2つの認証情報プロビジョニングモード、および接続モデルについて説明します。

MCPトンネルはリサーチプレビュー段階です。お試しいただくにはアクセスをリクエストしてください。

このページでは、MCPトンネルのドキュメント全体で使用される用語を定義します。いくつかのコンポーネントは、設定ファイル、コンテナイメージ、および本文中で異なる名称で登場します。以下の表では、それぞれに1つの正式名称を示し、遭遇する可能性のある別名を列挙しています。

コンポーネント

用語	定義	別名
トンネルスタック	トンネルに接続するためにネットワーク内で実行する2つのコンテナ（プロキシとcloudflared）です。1つのスタックが1つのトンネルを提供し、可用性のために複数のホストにレプリケートできます。プログラムによるアクセスを使用する場合、セットアップコンポーネントがスタックと並行して実行され、認証情報をプロビジョニングします。	the stack、the MCP tunnel stack、the tunnel deployment、your deployment
プロキシ	Anthropicのルーティングコンポーネントです。内部TLSを終端し、アップストリームIPが許可された範囲内にあることを検証し、ホスト名に基づいて各リクエストをアップストリームMCPサーバーにルーティングします。	`mcp-proxy`（イメージ名、Composeサービス名、およびHelmコンテナ名）、`mcp-gateway`（コンテナ内部の設定パス `/etc/mcp-gateway/config.yaml` およびHelmの `gateway.config.*` 値プレフィックス）
cloudflared	Cloudflareのオープンソーストンネルコネクタです。ネットワークからトンネルエッジへのアウトバウンドのみの接続を開始し、エッジとプロキシの間で暗号化されたトラフィックを伝送します。Managed Agentとは無関係です。	the outbound connector、the tunnel connector
セットアップコンポーネント	`mcp-proxy` イメージ内に同梱されている `setup` バイナリです。プログラムによるアクセスを使用する場合、Workload Identity Federationを介して認証し、トンネルトークンを取得し、CAとサーバー証明書を生成し、CAをAnthropicに登録します。`renew-cert` も提供します。	setup Job（Helmのpre-installフック）、`setup` サービス（Composeプロファイル）、setup hook、setup binary、setup CLI
トンネルエッジ	cloudflaredがダイヤルアウトする先のCloudflareエッジサーバー（IP範囲 `198.41.192.0/19` および `2606:4700:a0::/44`、ポート7844 TCPおよびUDP）です。その上で動作するトンネルはAnthropicによってプロビジョニングおよび制御されており、Cloudflareは基盤となるネットワークを運用しています。	the edge、the Anthropic-operated tunnel edge
内部TLS	トンネルの平文WebSocketストリーム内で伝送される、Anthropicのバックエンドとプロキシの間の2回目のTLSハンドシェイクです。プロキシは、トンネルに登録したCAによって署名されたサーバー証明書を提示します。秘密鍵を保持しているのはあなただけであるため、トランスポートプロバイダーはリクエストやレスポンスのペイロードを読み取ることができません。	the inner TLS handshake
アップストリームMCPサーバー	プロキシがルーティングする先の、プライベートネットワーク内で実行されているMCPサーバーです。各アップストリームは、トンネルドメイン配下の1つのサブドメインとして公開されます。	upstream、routed MCP server、tunneled MCP server

認証情報のプロビジョニング

トンネルスタックは実行時に2つの認証情報を必要とします。1つはcloudflaredのアウトバウンド接続を認証するトンネルトークン、もう1つはトンネルに登録されたCAによって署名されたサーバー証明書で、プロキシが内部TLSハンドシェイク中に提示するものです。これらを提供する方法は2つあり、このガイド全体を通じてタブのペアとして提示されます。

モード	認証情報がスタックに到達する方法	Helmチャート名	タブラベル
プログラムによるアクセス	セットアップコンポーネントがWorkload Identity Federationを通じてTunnels APIに対して認証し、トンネルトークンを取得し、CAとサーバー証明書をローカルで生成し、CAを登録します。長期間有効なシークレットを手動でコピーする必要はありません。`org:manage_tunnels` スコープを持つフェデレーションルールが必要です。	Managedモード（`setup.enabled: true`、デフォルト）	With programmatic access
手動	Claude Consoleからトンネルトークンをコピーし、CAとサーバー証明書を自分で生成し（例えば `openssl` を使用）、ConsoleでCAを登録し、トークンと証明書をシークレットとしてスタックに提供します。セットアップコンポーネントは実行されません。	Externalモード（`setup.enabled: false`）	Without programmatic access

これらのモードは、デプロイガイドではプログラムによるフローおよび手動フローとも呼ばれます。

接続モデル

トンネルでは2つの方向が作用しており、それらは互いに逆向きです。

接続方向： cloudflaredはネットワークからトンネルエッジへアウトバウンドでダイヤルします。ファイアウォールはポート7844でのイーグレスのみを認識し、インバウンドポートは開かれません。
リクエスト方向： その接続が確立されると、MCPリクエストはその接続を通じてAnthropicからネットワークに向かって流れ、cloudflaredを経由してプロキシへ、さらにアップストリームMCPサーバーへと到達します。

「アウトバウンドのみ」という表現は接続を説明するものであり、その上で伝送されるリクエストを説明するものではありません。

内部TLSはAnthropicのバックエンドとプロキシの間にまたがります。cloudflaredとトンネルエッジは経路上でその間に位置しますが、暗号文しか見えません。プロキシは、ネットワーク内でMCPリクエストのペイロードが読み取り可能になる最初の場所です。

関連項目

セキュリティモデルと責任共有表については、MCPトンネルを参照してください。
プロキシ設定フィールド、証明書要件、およびセットアップコンポーネントについては、MCPトンネルリファレンスを参照してください。

Was this page helpful?

コンポーネント

用語	定義	別名
トンネルスタック	トンネルに接続するためにネットワーク内で実行する2つのコンテナ（プロキシとcloudflared）です。1つのスタックが1つのトンネルを提供し、可用性のために複数のホストにレプリケートできます。プログラムによるアクセスを使用する場合、セットアップコンポーネントがスタックと並行して実行され、認証情報をプロビジョニングします。	the stack、the MCP tunnel stack、the tunnel deployment、your deployment
プロキシ	Anthropicのルーティングコンポーネントです。内部TLSを終端し、アップストリームIPが許可された範囲内にあることを検証し、ホスト名に基づいて各リクエストをアップストリームMCPサーバーにルーティングします。	`mcp-proxy`（イメージ名、Composeサービス名、およびHelmコンテナ名）、`mcp-gateway`（コンテナ内部の設定パス `/etc/mcp-gateway/config.yaml` およびHelmの `gateway.config.*` 値プレフィックス）
cloudflared	Cloudflareのオープンソーストンネルコネクタです。ネットワークからトンネルエッジへのアウトバウンドのみの接続を開始し、エッジとプロキシの間で暗号化されたトラフィックを伝送します。Managed Agentとは無関係です。	the outbound connector、the tunnel connector
セットアップコンポーネント	`mcp-proxy` イメージ内に同梱されている `setup` バイナリです。プログラムによるアクセスを使用する場合、Workload Identity Federationを介して認証し、トンネルトークンを取得し、CAとサーバー証明書を生成し、CAをAnthropicに登録します。`renew-cert` も提供します。	setup Job（Helmのpre-installフック）、`setup` サービス（Composeプロファイル）、setup hook、setup binary、setup CLI
トンネルエッジ	cloudflaredがダイヤルアウトする先のCloudflareエッジサーバー（IP範囲 `198.41.192.0/19` および `2606:4700:a0::/44`、ポート7844 TCPおよびUDP）です。その上で動作するトンネルはAnthropicによってプロビジョニングおよび制御されており、Cloudflareは基盤となるネットワークを運用しています。	the edge、the Anthropic-operated tunnel edge
内部TLS	トンネルの平文WebSocketストリーム内で伝送される、Anthropicのバックエンドとプロキシの間の2回目のTLSハンドシェイクです。プロキシは、トンネルに登録したCAによって署名されたサーバー証明書を提示します。秘密鍵を保持しているのはあなただけであるため、トランスポートプロバイダーはリクエストやレスポンスのペイロードを読み取ることができません。	the inner TLS handshake
アップストリームMCPサーバー	プロキシがルーティングする先の、プライベートネットワーク内で実行されているMCPサーバーです。各アップストリームは、トンネルドメイン配下の1つのサブドメインとして公開されます。	upstream、routed MCP server、tunneled MCP server

認証情報のプロビジョニング

モード	認証情報がスタックに到達する方法	Helmチャート名	タブラベル
プログラムによるアクセス	セットアップコンポーネントがWorkload Identity Federationを通じてTunnels APIに対して認証し、トンネルトークンを取得し、CAとサーバー証明書をローカルで生成し、CAを登録します。長期間有効なシークレットを手動でコピーする必要はありません。`org:manage_tunnels` スコープを持つフェデレーションルールが必要です。	Managedモード（`setup.enabled: true`、デフォルト）	With programmatic access
手動	Claude Consoleからトンネルトークンをコピーし、CAとサーバー証明書を自分で生成し（例えば `openssl` を使用）、ConsoleでCAを登録し、トークンと証明書をシークレットとしてスタックに提供します。セットアップコンポーネントは実行されません。	Externalモード（`setup.enabled: false`）	Without programmatic access

これらのモードは、デプロイガイドではプログラムによるフローおよび手動フローとも呼ばれます。

接続モデル

トンネルでは2つの方向が作用しており、それらは互いに逆向きです。

接続方向： cloudflaredはネットワークからトンネルエッジへアウトバウンドでダイヤルします。ファイアウォールはポート7844でのイーグレスのみを認識し、インバウンドポートは開かれません。

リクエスト方向： その接続が確立されると、MCPリクエストはその接続を通じてAnthropicからネットワークに向かって流れ、cloudflaredを経由してプロキシへ、さらにアップストリームMCPサーバーへと到達します。

「アウトバウンドのみ」という表現は接続を説明するものであり、その上で伝送されるリクエストを説明するものではありません。