MensagensTúneis MCP

Gerenciar túneis no Console

Crie túneis, registre certificados de CA, recupere o token do túnel e anexe servidores MCP tunelados a agentes a partir do Claude Console.

Os túneis MCP estão em prévia de pesquisa. Solicite acesso para experimentá-los.

Esta página aborda o lado do Console de uma implantação de túneis MCP: criar um túnel, registrar seu certificado de CA, recuperar o token do túnel e anexar os servidores MCP upstream a um agente. Implantar túneis MCP com Helm e Implantar túneis MCP com Docker Compose abordam a execução da pilha do túnel dentro da sua rede.

Pré-requisitos

Um ou mais servidores MCP em execução na sua rede privada. O túnel roteia o tráfego até eles; ele não os hospeda. Consulte Servidores MCP remotos para ver exemplos que você pode implantar.
Uma função do Console com a permissão Manage tunnels, para que você possa criar e arquivar túneis, rotacionar o token e gerenciar certificados. Administradores e proprietários da organização têm essa permissão por padrão; funções personalizadas e concessões por conta também podem incluí-la. Funções sem ela têm acesso somente leitura à página MCP tunnels e aos detalhes do túnel.
Uma forma de sua pilha se autenticar na Tunnels API. Escolha uma:
- Acesso programático (recomendado). Configure a Workload Identity Federation durante a criação do túnel para que sua pilha gere tokens de API de curta duração a partir do seu provedor de identidade, busque o token do túnel e gere e registre um certificado de CA automaticamente. Requer permissão para gerenciar regras de federação, um emissor OIDC registrado e uma regra de federação com o escopo org:manage_tunnels.
- Manual. Pule o acesso programático. Depois de criar o túnel, obtenha o token do túnel, gere e registre um certificado de CA você mesmo e forneça o token e seu certificado de servidor à pilha do túnel como segredos.

Criar um túnel

Abra a página MCP tunnels
Na barra lateral do Console, vá para Manage > MCP tunnels. Os túneis têm escopo de workspace; o novo túnel pertence ao workspace atualmente selecionado no Console, então troque de workspace primeiro se quiser criá-lo em outro lugar.
Nomeie o túnel
Clique em New tunnel e insira um nome na caixa de diálogo Create tunnel. O nome é obrigatório e identifica o túnel na lista, na página de detalhes e no seletor de servidores MCP do agente. Um domínio no formato abcd1234.tunnel.anthropic.com é atribuído automaticamente.
Opcionalmente, configure o acesso programático
Se sua função puder gerenciar regras de federação, um botão de alternância Set up programmatic access aparece (desativado por padrão). Caso contrário, o Console mostra um aviso no lugar dele e sua pilha do túnel usa o fluxo manual. O restante do fluxo de criação é o mesmo em ambos os casos.
O acesso programático depende da Workload Identity Federation; leia essa página primeiro se emissores de federação, regras e contas de serviço não forem familiares. Para ativar o botão de alternância, você precisa de:
1. Um emissor OIDC registrado para o provedor de identidade do qual sua pilha apresenta tokens (como um cluster Kubernetes, AWS IAM, Google Cloud ou GitHub Actions). Registre um em Settings > Workload identity > Issuers se sua organização não tiver um.
2. Uma regra de federação com o escopo org:manage_tunnels. Ativar o botão de alternância revela um seletor Federation rule. Escolha uma regra existente com esse escopo ou clique em Create federation rule para criar uma diretamente ali.
3. A conta de serviço da regra adicionada a este workspace. A Tunnels API autoriza com base nas associações de workspace da conta de serviço. Se você estiver criando o túnel em um workspace diferente do padrão da organização, adicione a conta de serviço em Settings > Workspaces e passe o ID do workspace no momento da implantação (api.wif.workspaceId para Helm, ANTHROPIC_WORKSPACE_ID para Compose).
Pular esta etapa é totalmente suportado; ambos os guias de implantação têm uma aba Without programmatic access.
Crie o túnel
Clique em Create tunnel. O Console provisiona o túnel e abre a página de detalhes.

Registre os identificadores de implantação

Ambos os caminhos de implantação precisam de:

O ID do túnel (tnl_...), mostrado na página de detalhes do túnel.
O domínio do túnel (abcd1234.tunnel.anthropic.com), mostrado na página de detalhes do túnel. Usado como o tunnel_domain do proxy e no SAN do certificado do servidor.

O que mais você precisa depende do modo de provisionamento de credenciais:

Com acesso programático	Sem acesso programático
O ID da regra de federação (`fdrl_...`) da regra que você selecionou. A regra é de nível de organização, não armazenada no túnel; encontre-a em Settings > Workload identity > Rules.	O token do túnel, revelado com o ícone de olho ao lado de Token na página de detalhes. Trate-o como um segredo. Consulte Obter os detalhes de conexão.
O (um UUID), mostrado em .

Sua organização pode ter até 10 túneis ativos. Criar um túnel não estabelece nenhuma conectividade; isso acontece quando sua pilha se conecta com o token do túnel e um certificado de CA está registrado.

Obter os detalhes de conexão

Abra o túnel. A página de detalhes mostra uma seção Connection com o domínio e o token e uma seção Certificates.

Campo	Descrição
Domain	Copie o valor `abcd1234.tunnel.anthropic.com` atribuído. As rotas do seu proxy são subdomínios desse domínio.
Token	Clique no ícone de olho (Show token) para buscar o token do túnel e, em seguida, use o ícone de cópia para copiá-lo para o armazenamento de segredos da sua pilha do túnel. Clique em Rotate token para invalidar o token atual e emitir um novo.

Cada revelação e rotação é registrada no log de atividades da Compliance API da sua organização. A rotação não interrompe conexões do cloudflared que já estão estabelecidas, então você pode rotacionar, reimplantar com o novo valor e deixar as conexões antigas serem drenadas.

Adicionar um certificado de CA

A Anthropic verifica o TLS interno para o seu proxy com base nos certificados de CA que você registra no túnel. Um túnel sem certificados ativos não pode aceitar conexões e não aparece no seletor de servidores MCP do agente até que um seja registrado.

Encontre a seção Certificates
Na página de detalhes do túnel, role até a seção Certificates e clique em Add certificate.
Forneça o certificado
Clique em Choose file para selecionar um arquivo .pem, .crt ou .cer, arraste o arquivo para a área de texto ou cole o bloco PEM diretamente. O modal rejeita material de chave privada e conteúdo que não seja um bloco -----BEGIN CERTIFICATE-----. O arquivo deve ter 8 kB ou menos.
Adicione o certificado
Clique em Add certificate. A impressão digital e a data de expiração aparecem na lista de certificados, e a contagem de slots no cabeçalho da seção é incrementada.

Um túnel comporta até dois certificados ativos para que você possa rotacionar sem tempo de inatividade: registre o novo certificado junto com o antigo, reimplante seu proxy com o novo par de chaves, confirme que o tráfego está fluindo e, em seguida, clique em Revoke na linha do certificado antigo. Certificados revogados permanecem visíveis na lista com um selo Revoked.

Implantar a pilha do túnel

O túnel existe no Console, mas nenhum tráfego flui até que a pilha do túnel esteja em execução dentro da sua rede e conectada com o token do túnel. Siga um dos guias de implantação:

Implantar com Docker Compose

Execute a pilha do túnel em um único host. Fluxos de acesso programático e manual.

Implantar com Helm

Execute a pilha do túnel em um cluster Kubernetes. Fluxos de acesso programático e manual.

Usar o túnel em um agente

Quando sua pilha estiver em execução e tiver um ou mais servidores MCP configurados, anexe um servidor MCP upstream a uma sessão de Managed Agent. Para chamar os mesmos servidores a partir da Messages API, consulte Usar os servidores MCP tunelados.

O seletor mostra apenas túneis com pelo menos um certificado ativo. Um túnel que ainda mostra Needs certificate na lista MCP tunnels não aparece no menu suspenso; registre um certificado de CA primeiro. O seletor também tem escopo de workspace: ele lista túneis no mesmo workspace da sessão, não de outros workspaces.

Abra o modal New session
Vá para Managed Agents > Sessions e clique em New session.
Defina um agente inline
No seletor de agente, escolha Create new agent para poder editar a lista de servidores MCP diretamente.
Adicione o servidor MCP
Clique em + MCP Server e abra o menu suspenso. Túneis criados no workspace atual aparecem no topo da lista, acima do catálogo de conectores públicos. Selecione o túnel que dá acesso ao servidor que você deseja alcançar.
Forneça o roteamento
O cartão mostra dois campos opcionais: Subdomain (prefixado ao domínio do túnel) e Path (anexado após ele). Preencha um ou ambos, dependendo de como as rotas do seu proxy estão configuradas. A linha Resolves to mostra a URL completa do servidor MCP à qual o agente se conecta.

O túnel transporta tráfego; ele não se autentica no servidor MCP upstream. Configure OAuth ou autenticação bearer no servidor MCP da mesma forma que para qualquer outro servidor MCP.

Arquivar um túnel

O arquivamento impede imediatamente que o túnel aceite conexões e é permanente.

Na lista MCP tunnels, abra o menu da linha do túnel e escolha Archive. Túneis arquivados permanecem visíveis quando você filtra a lista por Archived ou All.

Próximos passos

Implantar com Helm

Instale em um cluster Kubernetes usando o Helm chart da Anthropic.

Segurança

Orientações de hardening, rotação de credenciais e resposta a violações.

Was this page helpful?

MensagensTúneis MCP

Gerenciar túneis no Console

Crie túneis, registre certificados de CA, recupere o token do túnel e anexe servidores MCP tunelados a agentes a partir do Claude Console.

Os túneis MCP estão em prévia de pesquisa. Solicite acesso para experimentá-los.

Pré-requisitos

Um ou mais servidores MCP em execução na sua rede privada. O túnel roteia o tráfego até eles; ele não os hospeda. Consulte Servidores MCP remotos para ver exemplos que você pode implantar.
Uma função do Console com a permissão Manage tunnels, para que você possa criar e arquivar túneis, rotacionar o token e gerenciar certificados. Administradores e proprietários da organização têm essa permissão por padrão; funções personalizadas e concessões por conta também podem incluí-la. Funções sem ela têm acesso somente leitura à página MCP tunnels e aos detalhes do túnel.
Uma forma de sua pilha se autenticar na Tunnels API. Escolha uma:
- Acesso programático (recomendado). Configure a Workload Identity Federation durante a criação do túnel para que sua pilha gere tokens de API de curta duração a partir do seu provedor de identidade, busque o token do túnel e gere e registre um certificado de CA automaticamente. Requer permissão para gerenciar regras de federação, um emissor OIDC registrado e uma regra de federação com o escopo org:manage_tunnels.
- Manual. Pule o acesso programático. Depois de criar o túnel, obtenha o token do túnel, gere e registre um certificado de CA você mesmo e forneça o token e seu certificado de servidor à pilha do túnel como segredos.

Criar um túnel

Abra a página MCP tunnels
Na barra lateral do Console, vá para Manage > MCP tunnels. Os túneis têm escopo de workspace; o novo túnel pertence ao workspace atualmente selecionado no Console, então troque de workspace primeiro se quiser criá-lo em outro lugar.
Nomeie o túnel
Clique em New tunnel e insira um nome na caixa de diálogo Create tunnel. O nome é obrigatório e identifica o túnel na lista, na página de detalhes e no seletor de servidores MCP do agente. Um domínio no formato abcd1234.tunnel.anthropic.com é atribuído automaticamente.
Opcionalmente, configure o acesso programático
Se sua função puder gerenciar regras de federação, um botão de alternância Set up programmatic access aparece (desativado por padrão). Caso contrário, o Console mostra um aviso no lugar dele e sua pilha do túnel usa o fluxo manual. O restante do fluxo de criação é o mesmo em ambos os casos.
O acesso programático depende da Workload Identity Federation; leia essa página primeiro se emissores de federação, regras e contas de serviço não forem familiares. Para ativar o botão de alternância, você precisa de:
1. Um emissor OIDC registrado para o provedor de identidade do qual sua pilha apresenta tokens (como um cluster Kubernetes, AWS IAM, Google Cloud ou GitHub Actions). Registre um em Settings > Workload identity > Issuers se sua organização não tiver um.
2. Uma regra de federação com o escopo org:manage_tunnels. Ativar o botão de alternância revela um seletor Federation rule. Escolha uma regra existente com esse escopo ou clique em Create federation rule para criar uma diretamente ali.
3. A conta de serviço da regra adicionada a este workspace. A Tunnels API autoriza com base nas associações de workspace da conta de serviço. Se você estiver criando o túnel em um workspace diferente do padrão da organização, adicione a conta de serviço em Settings > Workspaces e passe o ID do workspace no momento da implantação (api.wif.workspaceId para Helm, ANTHROPIC_WORKSPACE_ID para Compose).
Pular esta etapa é totalmente suportado; ambos os guias de implantação têm uma aba Without programmatic access.
Crie o túnel
Clique em Create tunnel. O Console provisiona o túnel e abre a página de detalhes.

Registre os identificadores de implantação

Ambos os caminhos de implantação precisam de:

O ID do túnel (tnl_...), mostrado na página de detalhes do túnel.
O domínio do túnel (abcd1234.tunnel.anthropic.com), mostrado na página de detalhes do túnel. Usado como o tunnel_domain do proxy e no SAN do certificado do servidor.

O que mais você precisa depende do modo de provisionamento de credenciais:

Com acesso programático	Sem acesso programático
O ID da regra de federação (`fdrl_...`) da regra que você selecionou. A regra é de nível de organização, não armazenada no túnel; encontre-a em Settings > Workload identity > Rules.	O token do túnel, revelado com o ícone de olho ao lado de Token na página de detalhes. Trate-o como um segredo. Consulte Obter os detalhes de conexão.
O (um UUID), mostrado em .

Obter os detalhes de conexão

Abra o túnel. A página de detalhes mostra uma seção Connection com o domínio e o token e uma seção Certificates.

Campo	Descrição
Domain	Copie o valor `abcd1234.tunnel.anthropic.com` atribuído. As rotas do seu proxy são subdomínios desse domínio.
Token	Clique no ícone de olho (Show token) para buscar o token do túnel e, em seguida, use o ícone de cópia para copiá-lo para o armazenamento de segredos da sua pilha do túnel. Clique em Rotate token para invalidar o token atual e emitir um novo.

Adicionar um certificado de CA

Encontre a seção Certificates
Na página de detalhes do túnel, role até a seção Certificates e clique em Add certificate.
Forneça o certificado
Clique em Choose file para selecionar um arquivo .pem, .crt ou .cer, arraste o arquivo para a área de texto ou cole o bloco PEM diretamente. O modal rejeita material de chave privada e conteúdo que não seja um bloco -----BEGIN CERTIFICATE-----. O arquivo deve ter 8 kB ou menos.
Adicione o certificado
Clique em Add certificate. A impressão digital e a data de expiração aparecem na lista de certificados, e a contagem de slots no cabeçalho da seção é incrementada.

Implantar a pilha do túnel

O túnel existe no Console, mas nenhum tráfego flui até que a pilha do túnel esteja em execução dentro da sua rede e conectada com o token do túnel. Siga um dos guias de implantação:

Implantar com Docker Compose

Execute a pilha do túnel em um único host. Fluxos de acesso programático e manual.

Implantar com Helm

Execute a pilha do túnel em um cluster Kubernetes. Fluxos de acesso programático e manual.

Usar o túnel em um agente

Abra o modal New session
Vá para Managed Agents > Sessions e clique em New session.
Defina um agente inline
No seletor de agente, escolha Create new agent para poder editar a lista de servidores MCP diretamente.
Adicione o servidor MCP
Clique em + MCP Server e abra o menu suspenso. Túneis criados no workspace atual aparecem no topo da lista, acima do catálogo de conectores públicos. Selecione o túnel que dá acesso ao servidor que você deseja alcançar.
Forneça o roteamento
O cartão mostra dois campos opcionais: Subdomain (prefixado ao domínio do túnel) e Path (anexado após ele). Preencha um ou ambos, dependendo de como as rotas do seu proxy estão configuradas. A linha Resolves to mostra a URL completa do servidor MCP à qual o agente se conecta.

O túnel transporta tráfego; ele não se autentica no servidor MCP upstream. Configure OAuth ou autenticação bearer no servidor MCP da mesma forma que para qualquer outro servidor MCP.

Arquivar um túnel

O arquivamento impede imediatamente que o túnel aceite conexões e é permanente.

Na lista MCP tunnels, abra o menu da linha do túnel e escolha Archive. Túneis arquivados permanecem visíveis quando você filtra a lista por Archived ou All.

Próximos passos

Implantar com Helm

Instale em um cluster Kubernetes usando o Helm chart da Anthropic.

Segurança

Orientações de hardening, rotação de credenciais e resposta a violações.

Was this page helpful?