メッセージMCPトンネル

Consoleでトンネルを管理する

Claude Consoleからトンネルの作成、CA証明書の登録、トンネルトークンの取得、トンネル経由のMCPサーバーのエージェントへの接続を行います。

MCPトンネルはリサーチプレビュー段階です。お試しいただくにはアクセスをリクエストしてください。

このページでは、MCPトンネルデプロイメントのConsole側について説明します。トンネルの作成、CA証明書の登録、トンネルトークンの取得、およびアップストリームMCPサーバーのエージェントへの接続です。HelmでMCPトンネルをデプロイするとDocker ComposeでMCPトンネルをデプロイするでは、ネットワーク内でのトンネルスタックの実行について説明しています。

前提条件

プライベートネットワーク内で実行されている1つ以上のMCPサーバー。トンネルはそれらにトラフィックをルーティングしますが、ホストはしません。デプロイ可能な例については、リモートMCPサーバーを参照してください。
Manage tunnels権限を持つConsoleロール。これにより、トンネルの作成とアーカイブ、トークンのローテーション、証明書の管理が可能になります。組織の管理者とオーナーはデフォルトでこの権限を持っています。カスタムロールやアカウント単位の付与にも含めることができます。この権限を持たないロールは、MCP tunnelsページとトンネル詳細への読み取り専用アクセスのみが可能です。
スタックがTunnels APIに認証する手段。以下のいずれかを選択してください。
- プログラマティックアクセス（推奨）。 トンネル作成時にWorkload Identity Federationを設定することで、スタックがアイデンティティプロバイダーから短命のAPIトークンを発行し、トンネルトークンを取得し、CA証明書を自動的に生成・登録します。フェデレーションルールの管理権限、登録済みのOIDC発行者、およびorg:manage_tunnelsスコープを持つフェデレーションルールが必要です。
- 手動。 プログラマティックアクセスをスキップします。トンネル作成後、トンネルトークンを取得し、自分でCA証明書を生成して登録し、トークンとサーバー証明書をシークレットとしてトンネルスタックに提供します。

トンネルを作成する

MCP tunnelsページを開く
Consoleのサイドバーで、Manage > MCP tunnelsに移動します。トンネルはワークスペース単位でスコープされます。新しいトンネルは、Consoleで現在選択されているワークスペースに属するため、別の場所に作成したい場合は、先にワークスペースを切り替えてください。
トンネルに名前を付ける
New tunnelをクリックし、Create tunnelダイアログで名前を入力します。名前は必須で、リスト、詳細ページ、およびエージェントのMCPサーバーピッカーでトンネルを識別します。abcd1234.tunnel.anthropic.com形式のドメインが自動的に割り当てられます。
オプションでプログラマティックアクセスを設定する
ロールがフェデレーションルールを管理できる場合、Set up programmatic accessトグルが表示されます（デフォルトはオフ）。そうでない場合、Consoleはその場所に通知を表示し、トンネルスタックは代わりに手動フローを使用します。作成フローの残りの部分は、どちらの場合も同じです。
プログラマティックアクセスはWorkload Identity Federationに依存しています。フェデレーションの発行者、ルール、サービスアカウントに馴染みがない場合は、先にそのページをお読みください。トグルをオンにするには、以下が必要です。
1. スタックがトークンを提示するアイデンティティプロバイダー用の登録済みOIDC発行者（Kubernetesクラスター、AWS IAM、Google Cloud、GitHub Actionsなど）。組織に発行者がない場合は、Settings > Workload identity > Issuersで登録してください。
2. org:manage_tunnelsスコープを持つフェデレーションルール。 トグルをオンにすると、Federation ruleピッカーが表示されます。そのスコープを持つ既存のルールを選択するか、Create federation ruleをクリックしてインラインで作成します。
3. このワークスペースに追加されたルールのサービスアカウント。 Tunnels APIは、サービスアカウントのワークスペースメンバーシップに対して認可を行います。組織のデフォルト以外のワークスペースでトンネルを作成する場合は、Settings > Workspacesでサービスアカウントを追加し、デプロイ時にワークスペースIDを渡してください（Helmの場合はapi.wif.workspaceId、Composeの場合はANTHROPIC_WORKSPACE_ID）。
このステップのスキップは完全にサポートされています。両方のデプロイガイドにはWithout programmatic accessタブがあります。
トンネルを作成する
Create tunnelをクリックします。Consoleがトンネルをプロビジョニングし、詳細ページを開きます。

デプロイメント識別子を記録する

両方のデプロイパスで以下が必要です。

トンネルID（tnl_...）。トンネル詳細ページに表示されます。
トンネルドメイン（abcd1234.tunnel.anthropic.com）。トンネル詳細ページに表示されます。プロキシのtunnel_domainとして、およびサーバー証明書のSANで使用されます。

その他に必要なものは、認証情報プロビジョニングモードによって異なります。

プログラマティックアクセスあり	プログラマティックアクセスなし
選択したルールのフェデレーションルールID（`fdrl_...`）。ルールは組織レベルであり、トンネルには保存されません。Settings > Workload identity > Rulesで確認できます。	トンネルトークン。詳細ページのTokenの横にある目のアイコンで表示されます。シークレットとして扱ってください。接続の詳細を取得するを参照してください。
組織ID（UUID）。Settings > Organizationに表示されます。	自分で生成してトンネルに登録するCA証明書。

プログラマティックアクセスを使用する場合、スタックはTunnels APIを通じてトンネルトークンを取得し、CAとサーバー証明書をローカルで生成し（秘密鍵は環境外に出ません）、CAの公開証明書のみをAnthropicに登録します。秘密鍵の保護と、有効期限前のサーバー証明書の更新は、引き続きお客様の責任です。

組織は最大10個のアクティブなトンネルを持つことができます。トンネルを作成しても接続は確立されません。接続は、スタックがトンネルトークンでダイヤルインし、CA証明書が登録された時点で確立されます。

接続の詳細を取得する

トンネルを開きます。詳細ページには、ドメインとトークンを含むConnectionセクションと、Certificatesセクションが表示されます。

フィールド	説明
Domain	割り当てられた`abcd1234.tunnel.anthropic.com`の値をコピーします。プロキシのルートは、このドメインのサブドメインです。
Token	目のアイコン（Show token）をクリックしてトンネルトークンを取得し、コピーアイコンを使用してトンネルスタックのシークレットストアにコピーします。Rotate tokenをクリックすると、現在のトークンが無効化され、新しいトークンが発行されます。

すべての表示とローテーションは、組織のCompliance APIアクティビティログに記録されます。ローテーションは、すでに確立されているcloudflared接続を切断しないため、ローテーションして新しい値で再デプロイし、古い接続をドレインさせることができます。

CA証明書を追加する

Anthropicは、トンネルに登録されたCA証明書に対して、プロキシへの内部TLSを検証します。アクティブな証明書がないトンネルは接続を受け入れることができず、証明書が登録されるまでエージェントのMCPサーバーピッカーに表示されません。

Certificatesセクションを見つける
トンネルの詳細ページで、Certificatesセクションまでスクロールし、Add certificateをクリックします。
証明書を提供する
Choose fileをクリックして.pem、.crt、または.cerファイルを選択するか、ファイルをテキストエリアにドラッグするか、PEMブロックを直接貼り付けます。モーダルは、秘密鍵の内容や-----BEGIN CERTIFICATE-----ブロックでない内容を拒否します。ファイルは8 kB以下である必要があります。
証明書を追加する
Add certificateをクリックします。フィンガープリントと有効期限が証明書リストに表示され、セクションヘッダーのスロット数が増加します。

トンネルは最大2つのアクティブな証明書を保持できるため、ダウンタイムなしでローテーションできます。古い証明書と並行して新しい証明書を登録し、新しいキーペアでプロキシを再デプロイし、トラフィックが流れていることを確認してから、古い証明書の行でRevokeをクリックします。失効した証明書は、Revokedバッジ付きでリストに表示され続けます。

トンネルスタックをデプロイする

トンネルはConsoleに存在しますが、トンネルスタックがネットワーク内で実行され、トンネルトークンでダイヤルインするまで、トラフィックは流れません。以下のいずれかのデプロイガイドに従ってください。

Docker Composeでデプロイする

単一ホストでトンネルスタックを実行します。プログラマティックアクセスと手動の両方のフローに対応しています。

Helmでデプロイする

Kubernetesクラスターでトンネルスタックを実行します。プログラマティックアクセスと手動の両方のフローに対応しています。

エージェントでトンネルを使用する

スタックが実行され、1つ以上のMCPサーバーが設定されたら、アップストリームMCPサーバーをManaged Agentセッションに接続します。代わりにMessages APIから同じサーバーを呼び出すには、トンネル経由のMCPサーバーを使用するを参照してください。

ピッカーには、少なくとも1つのアクティブな証明書を持つトンネルのみが表示されます。MCP tunnelsリストでまだNeeds certificateと表示されているトンネルは、ドロップダウンに表示されません。先にCA証明書を登録してください。ピッカーもワークスペース単位でスコープされます。セッションと同じワークスペース内のトンネルのみがリストされ、他のワークスペースのトンネルは表示されません。

New sessionモーダルを開く
Managed Agents > Sessionsに移動し、New sessionをクリックします。
インラインエージェントを定義する
エージェントピッカーでCreate new agentを選択すると、MCPサーバーリストを直接編集できます。
MCPサーバーを追加する
+ MCP Serverをクリックしてドロップダウンを開きます。現在のワークスペースで作成されたトンネルは、パブリックコネクタカタログの上、リストの先頭に表示されます。到達したいサーバーの前面にあるトンネルを選択します。
ルーティングを指定する
カードには2つのオプションフィールドが表示されます。Subdomain（トンネルドメインの前に付加）とPath（その後に追加）です。プロキシのルートの設定方法に応じて、一方または両方を入力します。Resolves to行には、エージェントが接続する完全なMCPサーバーURLが表示されます。

トンネルはトラフィックを運びますが、アップストリームMCPサーバーへの認証は行いません。他のMCPサーバーと同じ方法で、MCPサーバーにOAuthまたはベアラー認証を設定してください。

トンネルをアーカイブする

アーカイブすると、トンネルは即座に接続の受け入れを停止し、この操作は永続的です。

MCP tunnelsリストで、トンネルの行メニューを開き、Archiveを選択します。アーカイブされたトンネルは、リストをArchivedまたはAllでフィルタリングすると表示され続けます。

次のステップ

Helmでデプロイする

Anthropic Helmチャートを使用してKubernetesクラスターにインストールします。

セキュリティ

強化ガイダンス、認証情報のローテーション、侵害対応。

Was this page helpful?

メッセージMCPトンネル

Consoleでトンネルを管理する

Claude Consoleからトンネルの作成、CA証明書の登録、トンネルトークンの取得、トンネル経由のMCPサーバーのエージェントへの接続を行います。

MCPトンネルはリサーチプレビュー段階です。お試しいただくにはアクセスをリクエストしてください。

前提条件

プライベートネットワーク内で実行されている1つ以上のMCPサーバー。トンネルはそれらにトラフィックをルーティングしますが、ホストはしません。デプロイ可能な例については、リモートMCPサーバーを参照してください。
Manage tunnels権限を持つConsoleロール。これにより、トンネルの作成とアーカイブ、トークンのローテーション、証明書の管理が可能になります。組織の管理者とオーナーはデフォルトでこの権限を持っています。カスタムロールやアカウント単位の付与にも含めることができます。この権限を持たないロールは、MCP tunnelsページとトンネル詳細への読み取り専用アクセスのみが可能です。
スタックがTunnels APIに認証する手段。以下のいずれかを選択してください。
- プログラマティックアクセス（推奨）。 トンネル作成時にWorkload Identity Federationを設定することで、スタックがアイデンティティプロバイダーから短命のAPIトークンを発行し、トンネルトークンを取得し、CA証明書を自動的に生成・登録します。フェデレーションルールの管理権限、登録済みのOIDC発行者、およびorg:manage_tunnelsスコープを持つフェデレーションルールが必要です。
- 手動。 プログラマティックアクセスをスキップします。トンネル作成後、トンネルトークンを取得し、自分でCA証明書を生成して登録し、トークンとサーバー証明書をシークレットとしてトンネルスタックに提供します。

トンネルを作成する

MCP tunnelsページを開く
Consoleのサイドバーで、Manage > MCP tunnelsに移動します。トンネルはワークスペース単位でスコープされます。新しいトンネルは、Consoleで現在選択されているワークスペースに属するため、別の場所に作成したい場合は、先にワークスペースを切り替えてください。
トンネルに名前を付ける
New tunnelをクリックし、Create tunnelダイアログで名前を入力します。名前は必須で、リスト、詳細ページ、およびエージェントのMCPサーバーピッカーでトンネルを識別します。abcd1234.tunnel.anthropic.com形式のドメインが自動的に割り当てられます。
オプションでプログラマティックアクセスを設定する
ロールがフェデレーションルールを管理できる場合、Set up programmatic accessトグルが表示されます（デフォルトはオフ）。そうでない場合、Consoleはその場所に通知を表示し、トンネルスタックは代わりに手動フローを使用します。作成フローの残りの部分は、どちらの場合も同じです。
プログラマティックアクセスはWorkload Identity Federationに依存しています。フェデレーションの発行者、ルール、サービスアカウントに馴染みがない場合は、先にそのページをお読みください。トグルをオンにするには、以下が必要です。
1. スタックがトークンを提示するアイデンティティプロバイダー用の登録済みOIDC発行者（Kubernetesクラスター、AWS IAM、Google Cloud、GitHub Actionsなど）。組織に発行者がない場合は、Settings > Workload identity > Issuersで登録してください。
2. org:manage_tunnelsスコープを持つフェデレーションルール。 トグルをオンにすると、Federation ruleピッカーが表示されます。そのスコープを持つ既存のルールを選択するか、Create federation ruleをクリックしてインラインで作成します。
3. このワークスペースに追加されたルールのサービスアカウント。 Tunnels APIは、サービスアカウントのワークスペースメンバーシップに対して認可を行います。組織のデフォルト以外のワークスペースでトンネルを作成する場合は、Settings > Workspacesでサービスアカウントを追加し、デプロイ時にワークスペースIDを渡してください（Helmの場合はapi.wif.workspaceId、Composeの場合はANTHROPIC_WORKSPACE_ID）。
このステップのスキップは完全にサポートされています。両方のデプロイガイドにはWithout programmatic accessタブがあります。
トンネルを作成する
Create tunnelをクリックします。Consoleがトンネルをプロビジョニングし、詳細ページを開きます。

デプロイメント識別子を記録する

両方のデプロイパスで以下が必要です。

トンネルID（tnl_...）。トンネル詳細ページに表示されます。
トンネルドメイン（abcd1234.tunnel.anthropic.com）。トンネル詳細ページに表示されます。プロキシのtunnel_domainとして、およびサーバー証明書のSANで使用されます。

その他に必要なものは、認証情報プロビジョニングモードによって異なります。

プログラマティックアクセスあり	プログラマティックアクセスなし
選択したルールのフェデレーションルールID（`fdrl_...`）。ルールは組織レベルであり、トンネルには保存されません。Settings > Workload identity > Rulesで確認できます。	トンネルトークン。詳細ページのTokenの横にある目のアイコンで表示されます。シークレットとして扱ってください。接続の詳細を取得するを参照してください。
組織ID（UUID）。Settings > Organizationに表示されます。	自分で生成してトンネルに登録するCA証明書。

接続の詳細を取得する

トンネルを開きます。詳細ページには、ドメインとトークンを含むConnectionセクションと、Certificatesセクションが表示されます。

フィールド	説明
Domain	割り当てられた`abcd1234.tunnel.anthropic.com`の値をコピーします。プロキシのルートは、このドメインのサブドメインです。
Token	目のアイコン（Show token）をクリックしてトンネルトークンを取得し、コピーアイコンを使用してトンネルスタックのシークレットストアにコピーします。Rotate tokenをクリックすると、現在のトークンが無効化され、新しいトークンが発行されます。

CA証明書を追加する

Certificatesセクションを見つける
トンネルの詳細ページで、Certificatesセクションまでスクロールし、Add certificateをクリックします。
証明書を提供する
Choose fileをクリックして.pem、.crt、または.cerファイルを選択するか、ファイルをテキストエリアにドラッグするか、PEMブロックを直接貼り付けます。モーダルは、秘密鍵の内容や-----BEGIN CERTIFICATE-----ブロックでない内容を拒否します。ファイルは8 kB以下である必要があります。
証明書を追加する
Add certificateをクリックします。フィンガープリントと有効期限が証明書リストに表示され、セクションヘッダーのスロット数が増加します。

トンネルスタックをデプロイする

Docker Composeでデプロイする

単一ホストでトンネルスタックを実行します。プログラマティックアクセスと手動の両方のフローに対応しています。

Helmでデプロイする

Kubernetesクラスターでトンネルスタックを実行します。プログラマティックアクセスと手動の両方のフローに対応しています。

エージェントでトンネルを使用する

New sessionモーダルを開く
Managed Agents > Sessionsに移動し、New sessionをクリックします。
インラインエージェントを定義する
エージェントピッカーでCreate new agentを選択すると、MCPサーバーリストを直接編集できます。
MCPサーバーを追加する
+ MCP Serverをクリックしてドロップダウンを開きます。現在のワークスペースで作成されたトンネルは、パブリックコネクタカタログの上、リストの先頭に表示されます。到達したいサーバーの前面にあるトンネルを選択します。
ルーティングを指定する
カードには2つのオプションフィールドが表示されます。Subdomain（トンネルドメインの前に付加）とPath（その後に追加）です。プロキシのルートの設定方法に応じて、一方または両方を入力します。Resolves to行には、エージェントが接続する完全なMCPサーバーURLが表示されます。

トンネルをアーカイブする

アーカイブすると、トンネルは即座に接続の受け入れを停止し、この操作は永続的です。

次のステップ

Helmでデプロイする

Anthropic Helmチャートを使用してKubernetesクラスターにインストールします。

セキュリティ

強化ガイダンス、認証情報のローテーション、侵害対応。

Was this page helpful?