MessagesMCP 터널

Console에서 터널 관리

Claude Console에서 터널을 생성하고, CA 인증서를 등록하고, 터널 토큰을 가져오고, 터널링된 MCP 서버를 에이전트에 연결합니다.

MCP 터널은 리서치 프리뷰 단계입니다. 사용해 보시려면 액세스를 요청하세요.

이 페이지는 MCP 터널 배포의 Console 측면을 다룹니다: 터널 생성, CA 인증서 등록, 터널 토큰 가져오기, 그리고 업스트림 MCP 서버를 에이전트에 연결하는 방법입니다. Helm으로 MCP 터널 배포 및 Docker Compose로 MCP 터널 배포는 네트워크 내부에서 터널 스택을 실행하는 방법을 다룹니다.

사전 요구 사항

프라이빗 네트워크에서 실행 중인 하나 이상의 MCP 서버. 터널은 트래픽을 해당 서버로 라우팅할 뿐, 서버를 호스팅하지는 않습니다. 배포할 수 있는 예시는 원격 MCP 서버를 참조하세요.
터널을 생성 및 보관하고, 토큰을 교체하고, 인증서를 관리할 수 있도록 Manage tunnels 권한이 있는 Console 역할. 조직 관리자와 소유자는 기본적으로 이 권한을 가지고 있으며, 사용자 지정 역할 및 계정별 권한 부여에도 포함할 수 있습니다. 이 권한이 없는 역할은 MCP tunnels 페이지와 터널 세부 정보에 대해 읽기 전용 액세스만 가집니다.
스택이 Tunnels API에 인증할 수 있는 방법. 다음 중 하나를 선택하세요:
- 프로그래매틱 액세스(권장). 터널 생성 중에 Workload Identity Federation을 설정하여 스택이 ID 공급자로부터 단기 API 토큰을 발급받고, 터널 토큰을 가져오고, CA 인증서를 자동으로 생성 및 등록하도록 합니다. 페더레이션 규칙을 관리할 수 있는 권한, 등록된 OIDC 발급자, 그리고 org:manage_tunnels 범위를 가진 페더레이션 규칙이 필요합니다.
- 수동. 프로그래매틱 액세스를 건너뜁니다. 터널을 생성한 후 터널 토큰을 가져오고, CA 인증서를 직접 생성하여 등록한 다음, 토큰과 서버 인증서를 시크릿으로 터널 스택에 제공합니다.

터널 생성

MCP tunnels 페이지 열기
Console 사이드바에서 Manage > MCP tunnels로 이동하세요. 터널은 워크스페이스 범위입니다. 새 터널은 현재 Console에서 선택된 워크스페이스에 속하므로, 다른 곳에 생성하려면 먼저 워크스페이스를 전환하세요.
터널 이름 지정
New tunnel을 클릭하고 Create tunnel 대화 상자에 이름을 입력하세요. 이름은 필수이며 목록, 세부 정보 페이지, 에이전트 MCP 서버 선택기에서 터널을 식별하는 데 사용됩니다. abcd1234.tunnel.anthropic.com 형식의 도메인이 자동으로 할당됩니다.
선택적으로 프로그래매틱 액세스 설정
역할이 페더레이션 규칙을 관리할 수 있는 경우 Set up programmatic access 토글이 표시됩니다(기본값은 꺼짐). 그렇지 않은 경우 Console은 해당 위치에 안내 메시지를 표시하며 터널 스택은 대신 수동 흐름을 사용합니다. 나머지 생성 흐름은 어느 경우든 동일합니다.
프로그래매틱 액세스는 Workload Identity Federation에 의존합니다. 페더레이션 발급자, 규칙, 서비스 계정이 익숙하지 않다면 해당 페이지를 먼저 읽어보세요. 토글을 켜려면 다음이 필요합니다:
1. 스택이 토큰을 제시하는 ID 공급자(예: Kubernetes 클러스터, AWS IAM, Google Cloud, GitHub Actions)에 대한 등록된 OIDC 발급자. 조직에 없는 경우 Settings > Workload identity > Issuers에서 등록하세요.
2. org:manage_tunnels 범위를 가진 페더레이션 규칙. 토글을 켜면 Federation rule 선택기가 나타납니다. 해당 범위를 가진 기존 규칙을 선택하거나 Create federation rule을 클릭하여 인라인으로 생성하세요.
3. 이 워크스페이스에 추가된 규칙의 서비스 계정. Tunnels API는 서비스 계정의 워크스페이스 멤버십을 기준으로 권한을 부여합니다. 조직의 기본 워크스페이스가 아닌 워크스페이스에서 터널을 생성하는 경우 Settings > Workspaces에서 서비스 계정을 추가하고 배포 시 워크스페이스 ID를 전달하세요(Helm의 경우 api.wif.workspaceId, Compose의 경우 ANTHROPIC_WORKSPACE_ID).
이 단계를 건너뛰는 것도 완전히 지원됩니다. 두 배포 가이드 모두 Without programmatic access 탭이 있습니다.
터널 생성
Create tunnel을 클릭하세요. Console이 터널을 프로비저닝하고 세부 정보 페이지를 엽니다.

배포 식별자 기록

두 배포 경로 모두 다음이 필요합니다:

터널 세부 정보 페이지에 표시되는 터널 ID(tnl_...).
터널 세부 정보 페이지에 표시되는 터널 도메인(abcd1234.tunnel.anthropic.com). 프록시의 tunnel_domain으로 사용되며 서버 인증서의 SAN에도 사용됩니다.

그 외에 필요한 것은 자격 증명 프로비저닝 모드에 따라 다릅니다:

프로그래매틱 액세스 사용	프로그래매틱 액세스 미사용
선택한 규칙의 페더레이션 규칙 ID(`fdrl_...`). 규칙은 조직 수준이며 터널에 저장되지 않습니다. Settings > Workload identity > Rules에서 찾으세요.	세부 정보 페이지의 Token 옆 눈 아이콘으로 표시되는 터널 토큰. 시크릿으로 취급하세요. 연결 세부 정보 가져오기를 참조하세요.
Settings > Organization에 표시되는 조직 ID(UUID).	직접 생성하여 터널에 등록하는 CA 인증서.

조직은 최대 10개의 활성 터널을 가질 수 있습니다. 터널을 생성해도 연결이 설정되지는 않습니다. 연결은 스택이 터널 토큰으로 다이얼 인하고 CA 인증서가 등록된 후에 이루어집니다.

연결 세부 정보 가져오기

터널을 여세요. 세부 정보 페이지에는 도메인과 토큰이 있는 Connection 섹션과 Certificates 섹션이 표시됩니다.

필드	설명
Domain	할당된 `abcd1234.tunnel.anthropic.com` 값을 복사하세요. 프록시의 라우트는 이 도메인의 하위 도메인입니다.
Token	눈 아이콘(Show token)을 클릭하여 터널 토큰을 가져온 다음, 복사 아이콘을 사용하여 터널 스택의 시크릿 저장소에 복사하세요. Rotate token을 클릭하면 현재 토큰이 무효화되고 새 토큰이 발급됩니다.

모든 표시 및 교체는 조직의 Compliance API 활동 로그에 기록됩니다. 교체는 이미 설정된 cloudflared 연결을 끊지 않으므로, 교체하고 새 값으로 재배포한 다음 이전 연결이 자연스럽게 종료되도록 할 수 있습니다.

CA 인증서 추가

Anthropic은 터널에 등록한 CA 인증서를 기준으로 프록시에 대한 내부 TLS를 검증합니다. 활성 인증서가 없는 터널은 연결을 수락할 수 없으며, 인증서가 등록될 때까지 에이전트 MCP 서버 선택기에 나타나지 않습니다.

Certificates 섹션 찾기
터널의 세부 정보 페이지에서 Certificates 섹션으로 스크롤하고 Add certificate를 클릭하세요.
인증서 제공
Choose file을 클릭하여 .pem, .crt, 또는 .cer 파일을 선택하거나, 파일을 텍스트 영역으로 드래그하거나, PEM 블록을 직접 붙여넣으세요. 모달은 개인 키 자료와 -----BEGIN CERTIFICATE----- 블록이 아닌 콘텐츠를 거부합니다. 파일은 8 kB 이하여야 합니다.
인증서 추가
Add certificate를 클릭하세요. 지문과 만료일이 인증서 목록에 나타나고 섹션 헤더의 슬롯 수가 증가합니다.

터널은 다운타임 없이 교체할 수 있도록 최대 두 개의 활성 인증서를 보유합니다. 새 인증서를 기존 인증서와 함께 등록하고, 새 키 쌍으로 프록시를 재배포하고, 트래픽이 흐르는지 확인한 다음, 이전 인증서 행에서 Revoke를 클릭하세요. 해지된 인증서는 Revoked 배지와 함께 목록에 계속 표시됩니다.

터널 스택 배포

터널은 Console에 존재하지만, 터널 스택이 네트워크 내부에서 실행되고 터널 토큰으로 다이얼 인할 때까지 트래픽이 흐르지 않습니다. 다음 배포 가이드 중 하나를 따르세요:

Docker Compose로 배포

단일 호스트에서 터널 스택을 실행합니다. 프로그래매틱 액세스 및 수동 흐름 모두 지원.

Helm으로 배포

Kubernetes 클러스터에서 터널 스택을 실행합니다. 프로그래매틱 액세스 및 수동 흐름 모두 지원.

에이전트에서 터널 사용

스택이 실행 중이고 하나 이상의 MCP 서버가 구성되면 업스트림 MCP 서버를 Managed Agent 세션에 연결하세요. 대신 Messages API에서 동일한 서버를 호출하려면 터널링된 MCP 서버 사용을 참조하세요.

선택기는 활성 인증서가 하나 이상 있는 터널만 표시합니다. MCP tunnels 목록에서 여전히 Needs certificate로 표시되는 터널은 드롭다운에 나타나지 않습니다. 먼저 CA 인증서를 등록하세요. 선택기는 또한 워크스페이스 범위입니다. 다른 워크스페이스가 아닌 세션과 동일한 워크스페이스의 터널만 나열합니다.

New session 모달 열기
Managed Agents > Sessions로 이동하여 New session을 클릭하세요.
인라인 에이전트 정의
에이전트 선택기에서 Create new agent를 선택하여 MCP 서버 목록을 직접 편집할 수 있도록 하세요.
MCP 서버 추가
+ MCP Server를 클릭하고 드롭다운을 여세요. 현재 워크스페이스에서 생성된 터널이 공개 커넥터 카탈로그 위, 목록 상단에 나타납니다. 연결하려는 서버를 프론트하는 터널을 선택하세요.
라우팅 제공
카드에는 두 개의 선택적 필드가 표시됩니다: Subdomain(터널 도메인 앞에 추가됨)과 Path(터널 도메인 뒤에 추가됨). 프록시의 라우트 구성 방식에 따라 하나 또는 둘 다 입력하세요. Resolves to 줄은 에이전트가 연결하는 전체 MCP 서버 URL을 보여줍니다.

터널은 트래픽을 전달할 뿐, 업스트림 MCP 서버에 인증하지 않습니다. 다른 MCP 서버와 동일한 방식으로 MCP 서버에서 OAuth 또는 베어러 인증을 구성하세요.

터널 보관

보관은 터널이 연결을 수락하는 것을 즉시 중지하며 영구적입니다.

MCP tunnels 목록에서 터널의 행 메뉴를 열고 Archive를 선택하세요. 보관된 터널은 목록을 Archived 또는 All로 필터링할 때 계속 표시됩니다.

다음 단계

Helm으로 배포

Anthropic Helm 차트를 사용하여 Kubernetes 클러스터에 설치합니다.

보안

강화 지침, 자격 증명 교체 및 침해 대응.

Was this page helpful?

MessagesMCP 터널

Console에서 터널 관리

Claude Console에서 터널을 생성하고, CA 인증서를 등록하고, 터널 토큰을 가져오고, 터널링된 MCP 서버를 에이전트에 연결합니다.

MCP 터널은 리서치 프리뷰 단계입니다. 사용해 보시려면 액세스를 요청하세요.

사전 요구 사항

프라이빗 네트워크에서 실행 중인 하나 이상의 MCP 서버. 터널은 트래픽을 해당 서버로 라우팅할 뿐, 서버를 호스팅하지는 않습니다. 배포할 수 있는 예시는 원격 MCP 서버를 참조하세요.
터널을 생성 및 보관하고, 토큰을 교체하고, 인증서를 관리할 수 있도록 Manage tunnels 권한이 있는 Console 역할. 조직 관리자와 소유자는 기본적으로 이 권한을 가지고 있으며, 사용자 지정 역할 및 계정별 권한 부여에도 포함할 수 있습니다. 이 권한이 없는 역할은 MCP tunnels 페이지와 터널 세부 정보에 대해 읽기 전용 액세스만 가집니다.
스택이 Tunnels API에 인증할 수 있는 방법. 다음 중 하나를 선택하세요:
- 프로그래매틱 액세스(권장). 터널 생성 중에 Workload Identity Federation을 설정하여 스택이 ID 공급자로부터 단기 API 토큰을 발급받고, 터널 토큰을 가져오고, CA 인증서를 자동으로 생성 및 등록하도록 합니다. 페더레이션 규칙을 관리할 수 있는 권한, 등록된 OIDC 발급자, 그리고 org:manage_tunnels 범위를 가진 페더레이션 규칙이 필요합니다.
- 수동. 프로그래매틱 액세스를 건너뜁니다. 터널을 생성한 후 터널 토큰을 가져오고, CA 인증서를 직접 생성하여 등록한 다음, 토큰과 서버 인증서를 시크릿으로 터널 스택에 제공합니다.

터널 생성

MCP tunnels 페이지 열기
Console 사이드바에서 Manage > MCP tunnels로 이동하세요. 터널은 워크스페이스 범위입니다. 새 터널은 현재 Console에서 선택된 워크스페이스에 속하므로, 다른 곳에 생성하려면 먼저 워크스페이스를 전환하세요.
터널 이름 지정
New tunnel을 클릭하고 Create tunnel 대화 상자에 이름을 입력하세요. 이름은 필수이며 목록, 세부 정보 페이지, 에이전트 MCP 서버 선택기에서 터널을 식별하는 데 사용됩니다. abcd1234.tunnel.anthropic.com 형식의 도메인이 자동으로 할당됩니다.
선택적으로 프로그래매틱 액세스 설정
역할이 페더레이션 규칙을 관리할 수 있는 경우 Set up programmatic access 토글이 표시됩니다(기본값은 꺼짐). 그렇지 않은 경우 Console은 해당 위치에 안내 메시지를 표시하며 터널 스택은 대신 수동 흐름을 사용합니다. 나머지 생성 흐름은 어느 경우든 동일합니다.
프로그래매틱 액세스는 Workload Identity Federation에 의존합니다. 페더레이션 발급자, 규칙, 서비스 계정이 익숙하지 않다면 해당 페이지를 먼저 읽어보세요. 토글을 켜려면 다음이 필요합니다:
1. 스택이 토큰을 제시하는 ID 공급자(예: Kubernetes 클러스터, AWS IAM, Google Cloud, GitHub Actions)에 대한 등록된 OIDC 발급자. 조직에 없는 경우 Settings > Workload identity > Issuers에서 등록하세요.
2. org:manage_tunnels 범위를 가진 페더레이션 규칙. 토글을 켜면 Federation rule 선택기가 나타납니다. 해당 범위를 가진 기존 규칙을 선택하거나 Create federation rule을 클릭하여 인라인으로 생성하세요.
3. 이 워크스페이스에 추가된 규칙의 서비스 계정. Tunnels API는 서비스 계정의 워크스페이스 멤버십을 기준으로 권한을 부여합니다. 조직의 기본 워크스페이스가 아닌 워크스페이스에서 터널을 생성하는 경우 Settings > Workspaces에서 서비스 계정을 추가하고 배포 시 워크스페이스 ID를 전달하세요(Helm의 경우 api.wif.workspaceId, Compose의 경우 ANTHROPIC_WORKSPACE_ID).
이 단계를 건너뛰는 것도 완전히 지원됩니다. 두 배포 가이드 모두 Without programmatic access 탭이 있습니다.
터널 생성
Create tunnel을 클릭하세요. Console이 터널을 프로비저닝하고 세부 정보 페이지를 엽니다.

배포 식별자 기록

두 배포 경로 모두 다음이 필요합니다:

터널 세부 정보 페이지에 표시되는 터널 ID(tnl_...).
터널 세부 정보 페이지에 표시되는 터널 도메인(abcd1234.tunnel.anthropic.com). 프록시의 tunnel_domain으로 사용되며 서버 인증서의 SAN에도 사용됩니다.

그 외에 필요한 것은 자격 증명 프로비저닝 모드에 따라 다릅니다:

프로그래매틱 액세스 사용	프로그래매틱 액세스 미사용
선택한 규칙의 페더레이션 규칙 ID(`fdrl_...`). 규칙은 조직 수준이며 터널에 저장되지 않습니다. Settings > Workload identity > Rules에서 찾으세요.	세부 정보 페이지의 Token 옆 눈 아이콘으로 표시되는 터널 토큰. 시크릿으로 취급하세요. 연결 세부 정보 가져오기를 참조하세요.
Settings > Organization에 표시되는 조직 ID(UUID).	직접 생성하여 터널에 등록하는 CA 인증서.

연결 세부 정보 가져오기

터널을 여세요. 세부 정보 페이지에는 도메인과 토큰이 있는 Connection 섹션과 Certificates 섹션이 표시됩니다.

필드	설명
Domain	할당된 `abcd1234.tunnel.anthropic.com` 값을 복사하세요. 프록시의 라우트는 이 도메인의 하위 도메인입니다.
Token	눈 아이콘(Show token)을 클릭하여 터널 토큰을 가져온 다음, 복사 아이콘을 사용하여 터널 스택의 시크릿 저장소에 복사하세요. Rotate token을 클릭하면 현재 토큰이 무효화되고 새 토큰이 발급됩니다.

CA 인증서 추가

Certificates 섹션 찾기
터널의 세부 정보 페이지에서 Certificates 섹션으로 스크롤하고 Add certificate를 클릭하세요.
인증서 제공
Choose file을 클릭하여 .pem, .crt, 또는 .cer 파일을 선택하거나, 파일을 텍스트 영역으로 드래그하거나, PEM 블록을 직접 붙여넣으세요. 모달은 개인 키 자료와 -----BEGIN CERTIFICATE----- 블록이 아닌 콘텐츠를 거부합니다. 파일은 8 kB 이하여야 합니다.
인증서 추가
Add certificate를 클릭하세요. 지문과 만료일이 인증서 목록에 나타나고 섹션 헤더의 슬롯 수가 증가합니다.

터널 스택 배포

Docker Compose로 배포

단일 호스트에서 터널 스택을 실행합니다. 프로그래매틱 액세스 및 수동 흐름 모두 지원.

Helm으로 배포

Kubernetes 클러스터에서 터널 스택을 실행합니다. 프로그래매틱 액세스 및 수동 흐름 모두 지원.

에이전트에서 터널 사용

New session 모달 열기
Managed Agents > Sessions로 이동하여 New session을 클릭하세요.
인라인 에이전트 정의
에이전트 선택기에서 Create new agent를 선택하여 MCP 서버 목록을 직접 편집할 수 있도록 하세요.
MCP 서버 추가
+ MCP Server를 클릭하고 드롭다운을 여세요. 현재 워크스페이스에서 생성된 터널이 공개 커넥터 카탈로그 위, 목록 상단에 나타납니다. 연결하려는 서버를 프론트하는 터널을 선택하세요.
라우팅 제공
카드에는 두 개의 선택적 필드가 표시됩니다: Subdomain(터널 도메인 앞에 추가됨)과 Path(터널 도메인 뒤에 추가됨). 프록시의 라우트 구성 방식에 따라 하나 또는 둘 다 입력하세요. Resolves to 줄은 에이전트가 연결하는 전체 MCP 서버 URL을 보여줍니다.

터널 보관

보관은 터널이 연결을 수락하는 것을 즉시 중지하며 영구적입니다.

MCP tunnels 목록에서 터널의 행 메뉴를 열고 Archive를 선택하세요. 보관된 터널은 목록을 Archived 또는 All로 필터링할 때 계속 표시됩니다.

다음 단계

Helm으로 배포

Anthropic Helm 차트를 사용하여 Kubernetes 클러스터에 설치합니다.

보안

강화 지침, 자격 증명 교체 및 침해 대응.

Was this page helpful?