СообщенияТуннели MCP

Управление туннелями в Console

Создавайте туннели, регистрируйте CA-сертификаты, получайте токен туннеля и подключайте туннелированные MCP-серверы к агентам из Claude Console.

Туннели MCP находятся в стадии исследовательской предварительной версии. Запросите доступ, чтобы попробовать их.

На этой странице описана часть развёртывания MCP-туннелей, выполняемая в Console: создание туннеля, регистрация вашего CA-сертификата, получение токена туннеля и подключение вышестоящих MCP-серверов к агенту. Страницы Развёртывание MCP-туннелей с помощью Helm и Развёртывание MCP-туннелей с помощью Docker Compose описывают запуск стека туннеля внутри вашей сети.

Предварительные требования

Один или несколько MCP-серверов, работающих в вашей частной сети. Туннель маршрутизирует трафик к ним; он не размещает их у себя. Примеры для развёртывания см. в разделе Удалённые MCP-серверы.
Роль в Console с разрешением Manage tunnels (Управление туннелями), чтобы вы могли создавать и архивировать туннели, ротировать токен и управлять сертификатами. Администраторы и владельцы организации имеют его по умолчанию; пользовательские роли и индивидуальные назначения для учётных записей также могут включать его. Роли без этого разрешения имеют доступ только для чтения к странице MCP tunnels и сведениям о туннеле.
Способ аутентификации вашего стека в Tunnels API. Выберите один из вариантов:
- Программный доступ (рекомендуется). Настройте Workload Identity Federation во время создания туннеля, чтобы ваш стек выпускал краткосрочные токены API от вашего поставщика удостоверений, получал токен туннеля, а также автоматически генерировал и регистрировал CA-сертификат. Требуется разрешение на управление правилами федерации, зарегистрированный OIDC-издатель и правило федерации с областью действия org:manage_tunnels.
- Ручной способ. Пропустите программный доступ. После создания туннеля получите токен туннеля, самостоятельно сгенерируйте и зарегистрируйте CA-сертификат, а затем передайте токен и ваш серверный сертификат в стек туннеля в виде секретов.

Создание туннеля

Откройте страницу MCP tunnels
В боковой панели Console перейдите в Manage > MCP tunnels. Туннели привязаны к рабочему пространству; новый туннель принадлежит рабочему пространству, выбранному в данный момент в Console, поэтому сначала переключите рабочее пространство, если хотите создать его в другом месте.
Назовите туннель
Нажмите New tunnel и введите имя в диалоговом окне Create tunnel. Имя обязательно и идентифицирует туннель в списке, на странице сведений и в средстве выбора MCP-серверов агента. Домен вида abcd1234.tunnel.anthropic.com назначается автоматически.
При необходимости настройте программный доступ
Если ваша роль позволяет управлять правилами федерации, появится переключатель Set up programmatic access (по умолчанию выключен). Если нет, Console покажет уведомление на его месте, и ваш стек туннеля будет использовать ручной процесс. Остальная часть процесса создания одинакова в обоих случаях.
Программный доступ основан на Workload Identity Federation; сначала прочитайте ту страницу, если издатели федерации, правила и сервисные учётные записи вам незнакомы. Чтобы включить переключатель, вам потребуется:
1. Зарегистрированный OIDC-издатель для поставщика удостоверений, от которого ваш стек предъявляет токены (например, кластер Kubernetes, AWS IAM, Google Cloud или GitHub Actions). Зарегистрируйте его в разделе Settings > Workload identity > Issuers, если в вашей организации его ещё нет.
2. Правило федерации с областью действия org:manage_tunnels. При включении переключателя появляется средство выбора Federation rule. Выберите существующее правило с этой областью действия или нажмите Create federation rule, чтобы создать его прямо здесь.
3. Сервисная учётная запись правила, добавленная в это рабочее пространство. Tunnels API выполняет авторизацию на основе членства сервисной учётной записи в рабочих пространствах. Если вы создаёте туннель в рабочем пространстве, отличном от рабочего пространства организации по умолчанию, добавьте сервисную учётную запись в разделе Settings > Workspaces и передайте идентификатор рабочего пространства при развёртывании (api.wif.workspaceId для Helm, ANTHROPIC_WORKSPACE_ID для Compose).
Пропуск этого шага полностью поддерживается; в обоих руководствах по развёртыванию есть вкладка Without programmatic access (Без программного доступа).
Создайте туннель
Нажмите Create tunnel. Console подготовит туннель и откроет страницу сведений.

Запишите идентификаторы для развёртывания

Для обоих вариантов развёртывания требуются:

Идентификатор туннеля (tnl_...), показанный на странице сведений о туннеле.
Домен туннеля (abcd1234.tunnel.anthropic.com), показанный на странице сведений о туннеле. Используется как tunnel_domain прокси и в SAN серверного сертификата.

Что ещё вам потребуется, зависит от режима предоставления учётных данных:

С программным доступом	Без программного доступа
Идентификатор правила федерации (`fdrl_...`) выбранного вами правила. Правило относится к уровню организации и не хранится в туннеле; найдите его в разделе Settings > Workload identity > Rules.	Токен туннеля, отображаемый при нажатии на значок глаза рядом с полем Token на странице сведений. Обращайтесь с ним как с секретом. См. Получение сведений о подключении.
Идентификатор организации (UUID), показанный в разделе Settings > Organization.	CA-сертификат, который вы генерируете и регистрируете в туннеле.

При программном доступе ваш стек получает токен туннеля через Tunnels API, генерирует CA и серверный сертификат локально (закрытый ключ никогда не покидает вашу среду) и регистрирует в Anthropic только публичный сертификат CA. Вы по-прежнему отвечаете за защиту закрытых ключей и обновление серверного сертификата до истечения срока его действия.

В вашей организации может быть до 10 активных туннелей. Создание туннеля не устанавливает никакого соединения; это происходит, когда ваш стек подключается с токеном туннеля и зарегистрирован CA-сертификат.

Получение сведений о подключении

Откройте туннель. На странице сведений отображается раздел Connection с доменом и токеном, а также раздел Certificates.

Поле Описание

Domain Скопируйте назначенное значение abcd1234.tunnel.anthropic.com. Маршруты вашего прокси являются поддоменами этого домена.

Token Нажмите на значок глаза (Show token), чтобы получить токен туннеля, затем используйте значок копирования, чтобы скопировать его в хранилище секретов вашего стека туннеля. Нажмите Rotate token, чтобы аннулировать текущий токен и выпустить новый.

Поле	Описание
Domain	Скопируйте назначенное значение `abcd1234.tunnel.anthropic.com`. Маршруты вашего прокси являются поддоменами этого домена.
Token	Нажмите на значок глаза (Show token), чтобы получить токен туннеля, затем используйте значок копирования, чтобы скопировать его в хранилище секретов вашего стека туннеля. Нажмите Rotate token, чтобы аннулировать текущий токен и выпустить новый.

Каждое раскрытие и каждая ротация записываются в журнал активности Compliance API вашей организации. Ротация не разрывает уже установленные соединения cloudflared, поэтому вы можете выполнить ротацию, повторно развернуть стек с новым значением и дать старым соединениям завершиться естественным образом.

Добавление CA-сертификата

Anthropic проверяет внутренний TLS к вашему прокси по CA-сертификатам, которые вы регистрируете в туннеле. Туннель без активных сертификатов не может принимать соединения и не отображается в средстве выбора MCP-серверов агента, пока сертификат не будет зарегистрирован.

Найдите раздел Certificates
На странице сведений о туннеле прокрутите до раздела Certificates и нажмите Add certificate.
Предоставьте сертификат
Нажмите Choose file, чтобы выбрать файл .pem, .crt или .cer, перетащите файл в текстовую область или вставьте PEM-блок напрямую. Модальное окно отклоняет материал закрытого ключа и содержимое, которое не является блоком -----BEGIN CERTIFICATE-----. Размер файла не должен превышать 8 КБ.
Добавьте сертификат
Нажмите Add certificate. Отпечаток и срок действия появятся в списке сертификатов, а счётчик слотов в заголовке раздела увеличится.

Туннель вмещает до двух активных сертификатов, чтобы вы могли выполнять ротацию без простоя: зарегистрируйте новый сертификат рядом со старым, повторно разверните прокси с новой парой ключей, убедитесь, что трафик проходит, затем нажмите Revoke в строке старого сертификата. Отозванные сертификаты остаются видимыми в списке с пометкой Revoked.

Развёртывание стека туннеля

Туннель существует в Console, но трафик не проходит, пока стек туннеля не запущен внутри вашей сети и не подключён с токеном туннеля. Следуйте одному из руководств по развёртыванию:

Развёртывание с помощью Docker Compose

Запустите стек туннеля на одном хосте. Поддерживаются как программный доступ, так и ручной процесс.

Развёртывание с помощью Helm

Запустите стек туннеля в кластере Kubernetes. Поддерживаются как программный доступ, так и ручной процесс.

Использование туннеля в агенте

Когда ваш стек запущен и в нём настроен один или несколько MCP-серверов, подключите вышестоящий MCP-сервер к сессии Managed Agent. Чтобы вместо этого вызывать те же серверы из Messages API, см. раздел Использование туннелированных MCP-серверов.

В средстве выбора отображаются только туннели с хотя бы одним активным сертификатом. Туннель, для которого в списке MCP tunnels всё ещё отображается Needs certificate, не появляется в раскрывающемся списке; сначала зарегистрируйте CA-сертификат. Средство выбора также привязано к рабочему пространству: в нём перечислены туннели из того же рабочего пространства, что и сессия, а не из других рабочих пространств.

Откройте модальное окно New session
Перейдите в Managed Agents > Sessions и нажмите New session.
Определите встроенного агента
В средстве выбора агента выберите Create new agent, чтобы вы могли напрямую редактировать список MCP-серверов.
Добавьте MCP-сервер
Нажмите + MCP Server и откройте раскрывающийся список. Туннели, созданные в текущем рабочем пространстве, отображаются в верхней части списка, над каталогом публичных коннекторов. Выберите туннель, который обслуживает нужный вам сервер.
Укажите маршрутизацию
На карточке отображаются два необязательных поля: Subdomain (добавляется перед доменом туннеля) и Path (добавляется после него). Заполните одно или оба поля в зависимости от того, как настроены маршруты вашего прокси. Строка Resolves to показывает полный URL MCP-сервера, к которому подключается агент.

Туннель передаёт трафик; он не выполняет аутентификацию на вышестоящем MCP-сервере. Настройте OAuth или аутентификацию по bearer-токену на MCP-сервере так же, как для любого другого MCP-сервера.

Архивирование туннеля

Архивирование немедленно прекращает приём соединений туннелем и является необратимым.

В списке MCP tunnels откройте меню строки для туннеля и выберите Archive. Архивированные туннели остаются видимыми при фильтрации списка по Archived или All.

Дальнейшие шаги

Развёртывание с помощью Helm

Установка в кластере Kubernetes с использованием Helm-чарта Anthropic.

Безопасность

Рекомендации по усилению защиты, ротация учётных данных и реагирование на утечки.

Was this page helpful?

СообщенияТуннели MCP

Управление туннелями в Console

Предварительные требования

Один или несколько MCP-серверов, работающих в вашей частной сети. Туннель маршрутизирует трафик к ним; он не размещает их у себя. Примеры для развёртывания см. в разделе Удалённые MCP-серверы.
Роль в Console с разрешением Manage tunnels (Управление туннелями), чтобы вы могли создавать и архивировать туннели, ротировать токен и управлять сертификатами. Администраторы и владельцы организации имеют его по умолчанию; пользовательские роли и индивидуальные назначения для учётных записей также могут включать его. Роли без этого разрешения имеют доступ только для чтения к странице MCP tunnels и сведениям о туннеле.
Способ аутентификации вашего стека в Tunnels API. Выберите один из вариантов:
- Программный доступ (рекомендуется). Настройте Workload Identity Federation во время создания туннеля, чтобы ваш стек выпускал краткосрочные токены API от вашего поставщика удостоверений, получал токен туннеля, а также автоматически генерировал и регистрировал CA-сертификат. Требуется разрешение на управление правилами федерации, зарегистрированный OIDC-издатель и правило федерации с областью действия org:manage_tunnels.
- Ручной способ. Пропустите программный доступ. После создания туннеля получите токен туннеля, самостоятельно сгенерируйте и зарегистрируйте CA-сертификат, а затем передайте токен и ваш серверный сертификат в стек туннеля в виде секретов.

Создание туннеля

Откройте страницу MCP tunnels
В боковой панели Console перейдите в Manage > MCP tunnels. Туннели привязаны к рабочему пространству; новый туннель принадлежит рабочему пространству, выбранному в данный момент в Console, поэтому сначала переключите рабочее пространство, если хотите создать его в другом месте.
Назовите туннель
Нажмите New tunnel и введите имя в диалоговом окне Create tunnel. Имя обязательно и идентифицирует туннель в списке, на странице сведений и в средстве выбора MCP-серверов агента. Домен вида abcd1234.tunnel.anthropic.com назначается автоматически.
При необходимости настройте программный доступ
Если ваша роль позволяет управлять правилами федерации, появится переключатель Set up programmatic access (по умолчанию выключен). Если нет, Console покажет уведомление на его месте, и ваш стек туннеля будет использовать ручной процесс. Остальная часть процесса создания одинакова в обоих случаях.
Программный доступ основан на Workload Identity Federation; сначала прочитайте ту страницу, если издатели федерации, правила и сервисные учётные записи вам незнакомы. Чтобы включить переключатель, вам потребуется:
1. Зарегистрированный OIDC-издатель для поставщика удостоверений, от которого ваш стек предъявляет токены (например, кластер Kubernetes, AWS IAM, Google Cloud или GitHub Actions). Зарегистрируйте его в разделе Settings > Workload identity > Issuers, если в вашей организации его ещё нет.
2. Правило федерации с областью действия org:manage_tunnels. При включении переключателя появляется средство выбора Federation rule. Выберите существующее правило с этой областью действия или нажмите Create federation rule, чтобы создать его прямо здесь.
3. Сервисная учётная запись правила, добавленная в это рабочее пространство. Tunnels API выполняет авторизацию на основе членства сервисной учётной записи в рабочих пространствах. Если вы создаёте туннель в рабочем пространстве, отличном от рабочего пространства организации по умолчанию, добавьте сервисную учётную запись в разделе Settings > Workspaces и передайте идентификатор рабочего пространства при развёртывании (api.wif.workspaceId для Helm, ANTHROPIC_WORKSPACE_ID для Compose).
Пропуск этого шага полностью поддерживается; в обоих руководствах по развёртыванию есть вкладка Without programmatic access (Без программного доступа).
Создайте туннель
Нажмите Create tunnel. Console подготовит туннель и откроет страницу сведений.

Запишите идентификаторы для развёртывания

Для обоих вариантов развёртывания требуются:

Идентификатор туннеля (tnl_...), показанный на странице сведений о туннеле.
Домен туннеля (abcd1234.tunnel.anthropic.com), показанный на странице сведений о туннеле. Используется как tunnel_domain прокси и в SAN серверного сертификата.

Что ещё вам потребуется, зависит от режима предоставления учётных данных:

С программным доступом	Без программного доступа
Идентификатор правила федерации (`fdrl_...`) выбранного вами правила. Правило относится к уровню организации и не хранится в туннеле; найдите его в разделе Settings > Workload identity > Rules.	Токен туннеля, отображаемый при нажатии на значок глаза рядом с полем Token на странице сведений. Обращайтесь с ним как с секретом. См. Получение сведений о подключении.
Идентификатор организации (UUID), показанный в разделе Settings > Organization.	CA-сертификат, который вы генерируете и регистрируете в туннеле.

Получение сведений о подключении

Поле Описание

Поле	Описание
Domain	Скопируйте назначенное значение `abcd1234.tunnel.anthropic.com`. Маршруты вашего прокси являются поддоменами этого домена.
Token	Нажмите на значок глаза (Show token), чтобы получить токен туннеля, затем используйте значок копирования, чтобы скопировать его в хранилище секретов вашего стека туннеля. Нажмите Rotate token, чтобы аннулировать текущий токен и выпустить новый.

Добавление CA-сертификата

Найдите раздел Certificates
На странице сведений о туннеле прокрутите до раздела Certificates и нажмите Add certificate.
Предоставьте сертификат
Нажмите Choose file, чтобы выбрать файл .pem, .crt или .cer, перетащите файл в текстовую область или вставьте PEM-блок напрямую. Модальное окно отклоняет материал закрытого ключа и содержимое, которое не является блоком -----BEGIN CERTIFICATE-----. Размер файла не должен превышать 8 КБ.
Добавьте сертификат
Нажмите Add certificate. Отпечаток и срок действия появятся в списке сертификатов, а счётчик слотов в заголовке раздела увеличится.

Развёртывание стека туннеля

Развёртывание с помощью Docker Compose

Запустите стек туннеля на одном хосте. Поддерживаются как программный доступ, так и ручной процесс.

Развёртывание с помощью Helm

Запустите стек туннеля в кластере Kubernetes. Поддерживаются как программный доступ, так и ручной процесс.

Использование туннеля в агенте

Откройте модальное окно New session
Перейдите в Managed Agents > Sessions и нажмите New session.
Определите встроенного агента
В средстве выбора агента выберите Create new agent, чтобы вы могли напрямую редактировать список MCP-серверов.
Добавьте MCP-сервер
Нажмите + MCP Server и откройте раскрывающийся список. Туннели, созданные в текущем рабочем пространстве, отображаются в верхней части списка, над каталогом публичных коннекторов. Выберите туннель, который обслуживает нужный вам сервер.
Укажите маршрутизацию
На карточке отображаются два необязательных поля: Subdomain (добавляется перед доменом туннеля) и Path (добавляется после него). Заполните одно или оба поля в зависимости от того, как настроены маршруты вашего прокси. Строка Resolves to показывает полный URL MCP-сервера, к которому подключается агент.

Архивирование туннеля

Архивирование немедленно прекращает приём соединений туннелем и является необратимым.

Дальнейшие шаги

Развёртывание с помощью Helm

Установка в кластере Kubernetes с использованием Helm-чарта Anthropic.

Безопасность

Рекомендации по усилению защиты, ротация учётных данных и реагирование на утечки.

Was this page helpful?