MCPトンネル

MCPトンネルを使用すると、プライベートネットワーク内で実行されている「Model Context Protocol」、すなわちMCPのサーバーにClaudeを接続できます。トラフィックはアウトバウンドのみの接続を介して流れるため、インバウンドのファイアウォールポートを開放したり、サービスをパブリックインターネットに公開したり、オリジンでAnthropicのIP範囲を許可リストに追加したりする必要はありません。

ゼロデータ保持およびHIPAA BAAの適格性については、APIとデータ保持を参照してください。

仕組み

トンネルスタックは、ネットワーク内で実行される2つのコンポーネントで構成されます。

• cloudflared： Cloudflareのオープンソーストンネルコネクタです。トンネルエッジへのアウトバウンドのみの接続を開始し、Anthropicからプロキシへの暗号化されたトラフィックを伝送します。
• プロキシ： Anthropicのルーティングコンポーネントです。内側TLSを終端し、アップストリームIPが許可された範囲内にあることを検証し、ホスト名に基づいて各リクエストを正しいアップストリームMCPサーバーにルーティングします。

公開する各MCPサーバーには、トンネルドメイン配下のホスト名（例：docs.<your-tunnel-domain>）が割り当てられます。これらのホスト名をConsoleのManaged Agentセッションにアタッチするか、MCPコネクタを通じてMessages APIに渡します。

前提条件

デプロイする前に、以下を用意してください。

• デプロイ先：Kubernetesクラスター、またはDockerとDocker Composeを備えたVM。
• Claude Consoleで作成されたトンネル。トンネルの作成を参照してください。
• スタックがTunnels APIに対して認証する方法。以下のいずれかを選択してください。
  • プログラムによるアクセス（推奨）。 トンネルを作成する際にWorkload Identity Federationを設定します。スタックはIDプロバイダーから短期間有効なAPIトークンを発行し、トンネルトークンを取得し、CA証明書を自動的に生成および登録します。フェデレーションルールを管理する権限、登録済みのOIDCイシュアー、およびorg:manage_tunnelsスコープを持つフェデレーションルールが必要です。
  • 手動。 静的な認証情報を自分で提供します。Consoleから取得したトンネルトークンと、そこで登録したCAによって署名されたサーバー証明書です。接続の詳細を取得するおよびCA証明書を追加するを参照してください。
• プライベートネットワーク内で実行されている1つ以上のMCPサーバー。例についてはリモートMCPサーバーを参照してください。
• ネットワーク要件に記載されているアウトバウンド接続。

ネットワーク要件

セキュリティモデル

セキュリティレイヤー

3つの独立したレイヤーがすべてのリクエストを保護します。

トンネルトランスポートはCloudflareのネットワーク上で実行されます。プロキシはお客様のみが保持する証明書を使用して内側TLSを終端するため、Cloudflareはリクエストまたはレスポンスのペイロードを読み取ることができません。AnthropicはCA証明書が登録されるまでトンネルに接続しないため、ペイロードはCloudflareのネットワークを通過する際に常に暗号化されています。Cloudflareは接続メタデータを受信します。トランスポートプロバイダーが観測できる内容を参照してください。

責任共有モデル

トランスポートプロバイダーが観測できる内容

Cloudflareはアウトバウンドトランスポートを提供します。MCPリクエストまたはレスポンスのペイロードを読み取ることはできませんが、以下の接続メタデータを受信します。

• cloudflaredを実行しているホストのエグレスIPアドレス
• cloudflaredホストのフィンガープリント
• 接続のタイミングとバイト量
• トンネルに割り当てられた*.tunnel.anthropic.comサブドメイン

AnthropicとCloudflareの契約により、Cloudflareによるこのテレメトリの使用は制限されています。Cloudflareはこのリサーチプレビューのサブプロセッサーとして機能します。

トンネルをデプロイする

MCPトンネルを初めて使用する場合は、本番環境のデプロイを設定する前に、クイックスタートから始めてローカルで動作するトンネルを構築してください。

選択の基準：

• デプロイ先
  • Kubernetesにデプロイする場合はHelm。
  • 単一ホストまたはローカルテストの場合はDocker Compose。
• セットアップの認証
  • Kubernetesクラスター、クラウドIAM、SPIFFEなどのOIDC IDプロバイダーがある場合は、プログラムによるアクセス（Workload Identity Federation経由）。
  • それがない場合、またはテスト中の場合は、手動の認証情報。

トンネル経由のMCPサーバーを使用する

トンネルがアクティブになると（アクティブなCA証明書があり、トンネルスタックが接続されている状態）、アップストリームMCPサーバーはClaude Managed AgentsおよびMessages APIから到達可能になります。

どちらの場合も、トンネルは暗号化されたトラフィックをMCPサーバーに伝送しますが、サーバーに対する認証は行いません。アップストリームMCPサーバーが独自の認証（OAuth、ベアラートークン）を必要とする場合は、他のMCPサーバーと同じ方法で提供してください。これはトンネルとは独立しています。

Managed Agents（Console）

1. Managed Agents > Sessionsでセッションを作成し、MCPサーバーリストを編集できるようにCreate new agentを選択します。
2. + MCP Serverをクリックしてドロップダウンを開きます。セッションのワークスペース内で少なくとも1つのアクティブな証明書を持つトンネルが、パブリックコネクタカタログの上、リストの最上部に表示されます。
3. トンネルを選択し、プロキシが特定のMCPサーバーにルーティングするSubdomainと、アップストリームMCPサーバーが期待するPathを指定します。Resolves toの行に正確なURLが表示されます。

Messages API

他のリモートMCPサーバーと同じ方法で、アップストリームMCPサーバーのURLをmcp_servers配列に渡します。リクエストボディとanthropic-betaヘッダーは標準のMCPコネクタ形式に従います。トンネル固有なのはurlのみです。以下の例では、MCPコネクタのmcp-clientベータヘッダーを使用しています。これはTunnels APIで使用されるmcp-tunnelsベータとは別のものです。トンネルが作成されたワークスペースのAPIキーを使用してください（ConsoleのSettings > API keys）。

URLのホストは<subdomain>.<your-tunnel-domain>です。パスはトンネルではなくアップストリームMCPサーバーに依存します。FastMCPのstreamable-httpトランスポートは/mcpで提供され、他のサーバーは/またはカスタムパスを使用する場合があります（サーバーのドキュメントを確認してください）。プロキシはパスをそのまま転送します。

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

各言語のSDKの例については、MCPコネクタを参照してください。トンネル固有の値はurlのみです。

次のステップ