СообщенияТуннели MCP

Туннели MCP

Безопасно подключайте Claude к серверам MCP, работающим в вашей частной сети, без открытия входящих портов и без предоставления доступа к сервисам из публичного интернета.

Туннели MCP позволяют подключать Claude к серверам «Model Context Protocol», или MCP, которые работают внутри вашей частной сети. Трафик передаётся только через исходящее соединение, поэтому вам не нужно открывать входящие порты брандмауэра, предоставлять доступ к сервисам из публичного интернета или добавлять диапазоны IP-адресов Anthropic в список разрешённых на вашем источнике.

Туннели MCP находятся в стадии бета-тестирования (исследовательская предварительная версия). Запросите доступ, чтобы попробовать их. Они предоставляются «как есть» без каких-либо обязательств по времени безотказной работы, поддержке или непрерывности и зависят от стороннего сетевого провайдера (Cloudflare), который не даёт обязательств по доступности базового транспорта. Anthropic может изменить или прекратить работу туннелей MCP в любое время.

Информацию о соответствии требованиям Zero Data Retention и HIPAA BAA см. в разделе API и хранение данных.

Как это работает

Стек туннеля состоит из двух компонентов, работающих внутри вашей сети:

cloudflared: коннектор туннеля с открытым исходным кодом от Cloudflare. Он инициирует только исходящие соединения с границей туннеля и передаёт зашифрованный трафик от Anthropic к вашему прокси.
Прокси: компонент маршрутизации от Anthropic. Он терминирует внутренний TLS, проверяет, что IP-адреса вышестоящих серверов попадают в разрешённый диапазон, и направляет каждый запрос к нужному вышестоящему серверу MCP на основе имени хоста.

Каждый сервер MCP, который вы предоставляете, получает имя хоста в домене вашего туннеля (например, docs.<your-tunnel-domain>). Вы прикрепляете эти имена хостов к сессии Managed Agent в Console или передаёте их в Messages API через коннектор MCP.

Предварительные требования

Перед развёртыванием убедитесь, что у вас есть:

Целевая среда развёртывания: кластер Kubernetes или виртуальная машина с Docker и Docker Compose.
Туннель, созданный в Claude Console. См. Создание туннеля.
Способ аутентификации вашего стека в Tunnels API. Выберите один из вариантов:
- Программный доступ (рекомендуется). Настройте Workload Identity Federation при создании туннеля. Ваш стек выпускает короткоживущие токены API от вашего провайдера идентификации, получает токен туннеля, а также автоматически генерирует и регистрирует сертификат CA. Требуется разрешение на управление правилами федерации, зарегистрированный OIDC-эмитент и правило федерации с областью действия org:manage_tunnels.
- Вручную. Предоставьте статические учётные данные самостоятельно: токен туннеля из Console и серверный сертификат, подписанный CA, который вы там регистрируете. См. Получение сведений о подключении и Добавление сертификата CA.
Один или несколько серверов MCP, работающих в вашей частной сети. Примеры см. в разделе Удалённые серверы MCP.
Исходящая сетевая связность, как указано в разделе Сетевые требования.

Сетевые требования

Компонент	Назначение	Порт / протокол	Используется во время
Компонент настройки	`api.anthropic.com`	443 TCP	Подготовки и ротации токенов
cloudflared	Граница туннеля (`198.41.192.0/19`, `2606:4700:a0::/44`)	7844 TCP и UDP	Работы
Прокси	Ваши вышестоящие серверы MCP	Согласно конфигурации	Работы

Модель безопасности

Уровни безопасности

Каждый запрос защищён тремя независимыми уровнями:

Уровень	Защищает от
Внешний mTLS между Anthropic и транспортным провайдером с проверкой IP	Доступа неавторизованных клиентов к туннелю
Внутренний TLS от бэкенда Anthropic до вашего прокси	Инспекции полезной нагрузки транспортным провайдером или любым сетевым посредником
OAuth на каждом сервере MCP	Несанкционированного использования инструментов MCP аутентифицированным трафиком туннеля

Транспорт туннеля работает в сети Cloudflare. Поскольку прокси терминирует внутренний TLS с использованием сертификата, которым владеете только вы, Cloudflare не может читать полезную нагрузку запросов и ответов. Anthropic не подключается к туннелю, пока не зарегистрирован сертификат CA, поэтому полезная нагрузка всегда зашифрована при прохождении через сеть Cloudflare. Cloudflare получает метаданные соединения; см. Что может наблюдать транспортный провайдер.

Модель разделённой ответственности

За что отвечает Anthropic	За что отвечает ваша организация
Контроль доступа к туннелю	Весь контент и трафик, проходящий через ваш туннель, а также соблюдение применимых политик допустимого использования третьих сторон (включая политики Cloudflare)
Проверка вашего сертификата CA перед подключением к вашему прокси	Соблюдение рекомендаций по развёртыванию, приведённых на этих страницах
Обеспечение того, чтобы Claude отправлял запросы только в туннели, принадлежащие вашей организации	Защита токенов туннеля и закрытых ключей TLS
	Управление серверным сертификатом и его обновление до истечения срока действия
	Настройка OAuth на каждом сервере MCP
	Ограничение сетевого доступа для прокси и серверов MCP
	Уведомление Anthropic при подозрении на нарушение безопасности

Если злоумышленник получит ваш токен туннеля и один из ваших закрытых ключей TLS, он сможет выдать себя за ваш прокси и читать полезную нагрузку запросов MCP. Относитесь к обоим как к секретам высокой ценности. Рекомендации по усилению защиты см. в разделе Безопасность туннелей MCP.

Что может наблюдать транспортный провайдер

Cloudflare обеспечивает исходящий транспорт. Он не может читать полезную нагрузку запросов и ответов MCP, но получает следующие метаданные соединения:

исходящий IP-адрес хоста, на котором работает cloudflared;
отпечаток хоста cloudflared;
время соединения и объём переданных байтов;
поддомен *.tunnel.anthropic.com, назначенный вашему туннелю.

Соглашение Anthropic с Cloudflare ограничивает использование этой телеметрии со стороны Cloudflare. Cloudflare выступает в качестве субобработчика для данной исследовательской предварительной версии.

Развёртывание туннеля

Если вы впервые работаете с туннелями MCP, начните с краткого руководства, чтобы получить работающий туннель локально, прежде чем настраивать производственное развёртывание.

Краткое руководство

Кратчайший путь к работающему туннелю: Docker Compose с примером сервера MCP.

Развёртывание с помощью Helm

Установка в кластере Kubernetes с использованием Helm-чарта от Anthropic.

Развёртывание с помощью Docker Compose

Установка на виртуальной машине с использованием Docker Compose.

Как выбрать между ними:

Целевая среда развёртывания
- Helm — при развёртывании в Kubernetes.
- Docker Compose — для одного хоста или локального тестирования.
Аутентификация для настройки
- Программный доступ (через Workload Identity Federation) — если у вас есть провайдер идентификации OIDC, такой как кластер Kubernetes, облачный IAM или SPIFFE.
- Ручные учётные данные — если его нет или если вы проводите тестирование.

Использование серверов MCP через туннель

Как только ваш туннель станет активным (у него есть активный сертификат CA и ваш стек туннеля подключён), вышестоящие серверы MCP становятся доступны из Claude Managed Agents и Messages API.

Туннели MCP, созданные через Console, недоступны в качестве коннекторов в claude.ai.

В обоих случаях туннель передаёт зашифрованный трафик на ваш сервер MCP, но не выполняет аутентификацию на нём. Если вышестоящий сервер MCP требует собственной аутентификации (OAuth, bearer-токен), предоставьте её так же, как для любого другого сервера MCP; она не зависит от туннеля.

Managed Agents (Console)

В разделе Managed Agents > Sessions создайте сессию и выберите Create new agent, чтобы иметь возможность редактировать список серверов MCP.
Нажмите + MCP Server и откройте раскрывающийся список. Туннели в рабочем пространстве сессии, у которых есть хотя бы один активный сертификат, отображаются в верхней части списка, над каталогом публичных коннекторов.
Выберите туннель и укажите Subdomain, который ваш прокси направляет на конкретный сервер MCP, и Path, который ожидает вышестоящий сервер MCP. Строка Resolves to показывает точный URL.

Messages API

Передайте URL вышестоящего сервера MCP в массиве mcp_servers так же, как для любого другого удалённого сервера MCP. Тело запроса и заголовок anthropic-beta соответствуют стандартному формату коннектора MCP; только url специфичен для туннеля. В следующем примере используется бета-заголовок mcp-client коннектора MCP, который отличается от бета-заголовка mcp-tunnels, используемого Tunnels API. Используйте ключ API для рабочего пространства, в котором был создан туннель (Console Settings > API keys).

Хост URL имеет вид <subdomain>.<your-tunnel-domain>. Путь зависит от вашего вышестоящего сервера MCP, а не от туннеля: транспорт streamable-http в FastMCP обслуживается по пути /mcp, а другие серверы могут использовать / или собственный путь (сверьтесь с документацией сервера). Прокси пересылает путь без изменений.

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

Примеры SDK на всех языках см. в разделе Коннектор MCP; единственное специфичное для туннеля значение — это url.

Дальнейшие шаги

Безопасность

Рекомендации по усилению защиты, ротация учётных данных и реагирование на нарушения.

Устранение неполадок

Диагностика проблем с подключением, TLS и маршрутизацией.

Справочник

Поля конфигурации прокси, Tunnels API, требования к сертификатам и компонент настройки.

Коннектор MCP

Использование серверов через туннель из Messages API.

Was this page helpful?

СообщенияТуннели MCP

Туннели MCP

Информацию о соответствии требованиям Zero Data Retention и HIPAA BAA см. в разделе API и хранение данных.

Как это работает

Стек туннеля состоит из двух компонентов, работающих внутри вашей сети:

cloudflared: коннектор туннеля с открытым исходным кодом от Cloudflare. Он инициирует только исходящие соединения с границей туннеля и передаёт зашифрованный трафик от Anthropic к вашему прокси.
Прокси: компонент маршрутизации от Anthropic. Он терминирует внутренний TLS, проверяет, что IP-адреса вышестоящих серверов попадают в разрешённый диапазон, и направляет каждый запрос к нужному вышестоящему серверу MCP на основе имени хоста.

Предварительные требования

Перед развёртыванием убедитесь, что у вас есть:

Целевая среда развёртывания: кластер Kubernetes или виртуальная машина с Docker и Docker Compose.
Туннель, созданный в Claude Console. См. Создание туннеля.
Способ аутентификации вашего стека в Tunnels API. Выберите один из вариантов:
- Программный доступ (рекомендуется). Настройте Workload Identity Federation при создании туннеля. Ваш стек выпускает короткоживущие токены API от вашего провайдера идентификации, получает токен туннеля, а также автоматически генерирует и регистрирует сертификат CA. Требуется разрешение на управление правилами федерации, зарегистрированный OIDC-эмитент и правило федерации с областью действия org:manage_tunnels.
- Вручную. Предоставьте статические учётные данные самостоятельно: токен туннеля из Console и серверный сертификат, подписанный CA, который вы там регистрируете. См. Получение сведений о подключении и Добавление сертификата CA.
Один или несколько серверов MCP, работающих в вашей частной сети. Примеры см. в разделе Удалённые серверы MCP.
Исходящая сетевая связность, как указано в разделе Сетевые требования.

Сетевые требования

Компонент	Назначение	Порт / протокол	Используется во время
Компонент настройки	`api.anthropic.com`	443 TCP	Подготовки и ротации токенов
cloudflared	Граница туннеля (`198.41.192.0/19`, `2606:4700:a0::/44`)	7844 TCP и UDP	Работы
Прокси	Ваши вышестоящие серверы MCP	Согласно конфигурации	Работы

Модель безопасности

Уровни безопасности

Каждый запрос защищён тремя независимыми уровнями:

Уровень	Защищает от
Внешний mTLS между Anthropic и транспортным провайдером с проверкой IP	Доступа неавторизованных клиентов к туннелю
Внутренний TLS от бэкенда Anthropic до вашего прокси	Инспекции полезной нагрузки транспортным провайдером или любым сетевым посредником
OAuth на каждом сервере MCP	Несанкционированного использования инструментов MCP аутентифицированным трафиком туннеля

Модель разделённой ответственности

За что отвечает Anthropic	За что отвечает ваша организация
Контроль доступа к туннелю	Весь контент и трафик, проходящий через ваш туннель, а также соблюдение применимых политик допустимого использования третьих сторон (включая политики Cloudflare)
Проверка вашего сертификата CA перед подключением к вашему прокси	Соблюдение рекомендаций по развёртыванию, приведённых на этих страницах
Обеспечение того, чтобы Claude отправлял запросы только в туннели, принадлежащие вашей организации	Защита токенов туннеля и закрытых ключей TLS
	Управление серверным сертификатом и его обновление до истечения срока действия
	Настройка OAuth на каждом сервере MCP
	Ограничение сетевого доступа для прокси и серверов MCP
	Уведомление Anthropic при подозрении на нарушение безопасности

Что может наблюдать транспортный провайдер

исходящий IP-адрес хоста, на котором работает cloudflared;
отпечаток хоста cloudflared;
время соединения и объём переданных байтов;
поддомен *.tunnel.anthropic.com, назначенный вашему туннелю.

Развёртывание туннеля

Краткое руководство

Кратчайший путь к работающему туннелю: Docker Compose с примером сервера MCP.

Развёртывание с помощью Helm

Установка в кластере Kubernetes с использованием Helm-чарта от Anthropic.

Развёртывание с помощью Docker Compose

Установка на виртуальной машине с использованием Docker Compose.

Как выбрать между ними:

Целевая среда развёртывания
- Helm — при развёртывании в Kubernetes.
- Docker Compose — для одного хоста или локального тестирования.
Аутентификация для настройки
- Программный доступ (через Workload Identity Federation) — если у вас есть провайдер идентификации OIDC, такой как кластер Kubernetes, облачный IAM или SPIFFE.
- Ручные учётные данные — если его нет или если вы проводите тестирование.

Использование серверов MCP через туннель

Туннели MCP, созданные через Console, недоступны в качестве коннекторов в claude.ai.

Managed Agents (Console)

В разделе Managed Agents > Sessions создайте сессию и выберите Create new agent, чтобы иметь возможность редактировать список серверов MCP.
Нажмите + MCP Server и откройте раскрывающийся список. Туннели в рабочем пространстве сессии, у которых есть хотя бы один активный сертификат, отображаются в верхней части списка, над каталогом публичных коннекторов.
Выберите туннель и укажите Subdomain, который ваш прокси направляет на конкретный сервер MCP, и Path, который ожидает вышестоящий сервер MCP. Строка Resolves to показывает точный URL.

Messages API

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

Примеры SDK на всех языках см. в разделе Коннектор MCP; единственное специфичное для туннеля значение — это url.

Дальнейшие шаги

Безопасность

Рекомендации по усилению защиты, ротация учётных данных и реагирование на нарушения.

Устранение неполадок

Диагностика проблем с подключением, TLS и маршрутизацией.

Справочник

Поля конфигурации прокси, Tunnels API, требования к сертификатам и компонент настройки.

Коннектор MCP

Использование серверов через туннель из Messages API.

Was this page helpful?