消息MCP 隧道

在 Console 中管理隧道

在 Claude Console 中创建隧道、注册 CA 证书、获取隧道令牌，并将通过隧道连接的 MCP 服务器附加到智能体。

MCP 隧道目前处于研究预览阶段。申请访问权限以进行试用。

本页介绍 MCP 隧道部署中 Console 侧的操作：创建隧道、注册您的 CA 证书、获取隧道令牌，以及将上游 MCP 服务器附加到智能体。使用 Helm 部署 MCP 隧道和使用 Docker Compose 部署 MCP 隧道介绍了如何在您的网络内部运行隧道堆栈。

前提条件

一个或多个 MCP 服务器在您的私有网络中运行。隧道负责将流量路由到这些服务器，而不是托管它们。有关可部署的示例，请参阅远程 MCP 服务器。
具有"管理隧道"权限的 Console 角色，以便您可以创建和归档隧道、轮换令牌以及管理证书。组织管理员和所有者默认拥有此权限；自定义角色和按账户授权也可以包含此权限。没有此权限的角色对 MCP tunnels 页面和隧道详情仅有只读访问权限。
一种让您的堆栈向 Tunnels API 进行身份验证的方式。 请选择以下方式之一：
- 编程式访问（推荐）。 在创建隧道时设置 Workload Identity Federation（工作负载身份联合），以便您的堆栈从身份提供商生成短期 API 令牌、获取隧道令牌，并自动生成和注册 CA 证书。这需要管理联合规则的权限、已注册的 OIDC 颁发者，以及具有 org:manage_tunnels 范围的联合规则。
- 手动方式。 跳过编程式访问。创建隧道后，获取隧道令牌，自行生成并注册 CA 证书，然后将令牌和您的服务器证书作为密钥提供给隧道堆栈。

创建隧道

打开 MCP tunnels 页面
在 Console 侧边栏中，转到 Manage > MCP tunnels。隧道的作用域限定在工作区级别；新隧道属于 Console 中当前选定的工作区，因此如果您希望将其放在其他位置，请先切换工作区。
为隧道命名
点击 New tunnel，然后在 Create tunnel 对话框中输入名称。名称为必填项，用于在列表、详情页面和智能体 MCP 服务器选择器中标识该隧道。系统会自动分配一个格式为 abcd1234.tunnel.anthropic.com 的域名。
（可选）设置编程式访问
如果您的角色可以管理联合规则，则会显示 Set up programmatic access 开关（默认关闭）。如果没有此权限，Console 会在该位置显示一条提示，您的隧道堆栈将改用手动流程。无论哪种方式，创建流程的其余部分都是相同的。
编程式访问依赖于 Workload Identity Federation；如果您不熟悉联合颁发者、规则和服务账户，请先阅读该页面。要打开此开关，您需要：
1. 已注册的 OIDC 颁发者，对应您的堆栈所提供令牌的身份提供商（例如 Kubernetes 集群、AWS IAM、Google Cloud 或 GitHub Actions）。如果您的组织还没有，请在 Settings > Workload identity > Issuers 下注册一个。
2. 具有 org:manage_tunnels 范围的联合规则。 打开开关后会显示 Federation rule 选择器。选择具有该范围的现有规则，或点击 Create federation rule 以内联方式创建一个。
3. 将规则的服务账户添加到此工作区。 Tunnels API 根据服务账户的工作区成员资格进行授权。如果您在组织默认工作区以外的工作区中创建隧道，请在 Settings > Workspaces 下添加该服务账户，并在部署时传递工作区 ID（Helm 使用 api.wif.workspaceId，Compose 使用 ANTHROPIC_WORKSPACE_ID）。
完全支持跳过此步骤；两个部署指南都有 Without programmatic access（无编程式访问）选项卡。
创建隧道
点击 Create tunnel。Console 会配置隧道并打开详情页面。

记录部署标识符

两种部署路径都需要：

隧道 ID（tnl_...），显示在隧道详情页面上。
隧道域名（abcd1234.tunnel.anthropic.com），显示在隧道详情页面上。用作代理的 tunnel_domain 以及服务器证书的 SAN。

其他所需内容取决于凭据配置模式：

使用编程式访问	不使用编程式访问
您所选规则的联合规则 ID（`fdrl_...`）。该规则是组织级别的，不存储在隧道上；可在 Settings > Workload identity > Rules 下找到。	隧道令牌，通过详情页面上 Token 旁边的眼睛图标显示。请将其视为密钥。参见获取连接详情。
组织 ID（一个 UUID），显示在 Settings > Organization 下。	您生成并在隧道上注册的 CA 证书。

使用编程式访问时，您的堆栈通过 Tunnels API 获取隧道令牌，在本地生成 CA 和服务器证书（私钥永远不会离开您的环境），并且仅向 Anthropic 注册 CA 的公共证书。您仍然需要负责保护私钥的安全，并在服务器证书过期之前进行续期。

您的组织最多可以拥有 10 个活动隧道。创建隧道不会建立任何连接；只有当您的堆栈使用隧道令牌拨入并注册了 CA 证书后，连接才会建立。

获取连接详情

打开隧道。详情页面显示包含域名和令牌的 Connection 部分以及 Certificates 部分。

字段	描述
Domain	复制分配的 `abcd1234.tunnel.anthropic.com` 值。您的代理路由是此域名的子域。
Token	点击眼睛图标（Show token）以获取隧道令牌，然后使用复制图标将其复制到隧道堆栈的密钥存储中。点击 Rotate token 可使当前令牌失效并颁发新令牌。

每次显示和轮换操作都会记录在您组织的 Compliance API 活动日志中。轮换不会切断已建立的 cloudflared 连接，因此您可以先轮换，使用新值重新部署，然后让旧连接自然排空。

添加 CA 证书

Anthropic 会根据您在隧道上注册的 CA 证书来验证到您的代理的内层 TLS。没有活动证书的隧道无法接受连接，并且在注册证书之前不会出现在智能体 MCP 服务器选择器中。

找到 Certificates 部分
在隧道的详情页面上，滚动到 Certificates 部分并点击 Add certificate。
提供证书
点击 Choose file 选择 .pem、.crt 或 .cer 文件，将文件拖放到文本区域，或直接粘贴 PEM 块。该对话框会拒绝私钥材料以及不是 -----BEGIN CERTIFICATE----- 块的内容。文件大小必须为 8 kB 或更小。
添加证书
点击 Add certificate。指纹和过期时间会显示在证书列表中，该部分标题上的插槽计数会递增。

一个隧道最多可容纳两个活动证书，以便您在不停机的情况下进行轮换：在旧证书旁边注册新证书，使用新密钥对重新部署代理，确认流量正常，然后在旧证书所在行点击 Revoke。已吊销的证书仍会显示在列表中，并带有 Revoked 标记。

部署隧道堆栈

隧道已在 Console 中存在，但在隧道堆栈在您的网络内部运行并使用隧道令牌拨入之前，不会有任何流量通过。请按照以下部署指南之一进行操作：

使用 Docker Compose 部署

在单个主机上运行隧道堆栈。支持编程式访问和手动流程。

使用 Helm 部署

在 Kubernetes 集群上运行隧道堆栈。支持编程式访问和手动流程。

在智能体中使用隧道

一旦您的堆栈运行并配置了一个或多个 MCP 服务器，即可将上游 MCP 服务器附加到托管智能体会话。如需改为从 Messages API 调用相同的服务器，请参阅使用通过隧道连接的 MCP 服务器。

选择器仅显示至少有一个活动证书的隧道。在 MCP tunnels 列表中仍显示 Needs certificate 的隧道不会出现在下拉列表中；请先注册 CA 证书。选择器的作用域也限定在工作区级别：它列出与会话位于同一工作区的隧道，而不是其他工作区的隧道。

打开 New session 对话框
转到 Managed Agents > Sessions 并点击 New session。
定义内联智能体
在智能体选择器中，选择 Create new agent，以便您可以直接编辑 MCP 服务器列表。
添加 MCP 服务器
点击 + MCP Server 并打开下拉列表。在当前工作区中创建的隧道会显示在列表顶部，位于公共连接器目录之上。选择代理您要访问的服务器的隧道。
提供路由信息
卡片显示两个可选字段：Subdomain（作为前缀添加到隧道域名）和 Path（附加在域名之后）。根据您的代理路由配置方式，填写其中一个或两个字段。Resolves to 行显示智能体连接到的完整 MCP 服务器 URL。

隧道负责传输流量，不会对上游 MCP 服务器进行身份验证。请按照与任何其他 MCP 服务器相同的方式在 MCP 服务器上配置 OAuth 或 Bearer 身份验证。

归档隧道

归档会立即阻止隧道接受连接，且此操作是永久性的。

在 MCP tunnels 列表中，打开该隧道的行菜单并选择 Archive。当您按 Archived 或 All 筛选列表时，已归档的隧道仍然可见。

后续步骤

使用 Helm 部署

使用 Anthropic Helm chart 在 Kubernetes 集群上安装。

安全性

加固指南、凭据轮换和泄露响应。

Was this page helpful?

消息MCP 隧道

在 Console 中管理隧道

在 Claude Console 中创建隧道、注册 CA 证书、获取隧道令牌，并将通过隧道连接的 MCP 服务器附加到智能体。

MCP 隧道目前处于研究预览阶段。申请访问权限以进行试用。

前提条件

一个或多个 MCP 服务器在您的私有网络中运行。隧道负责将流量路由到这些服务器，而不是托管它们。有关可部署的示例，请参阅远程 MCP 服务器。
具有"管理隧道"权限的 Console 角色，以便您可以创建和归档隧道、轮换令牌以及管理证书。组织管理员和所有者默认拥有此权限；自定义角色和按账户授权也可以包含此权限。没有此权限的角色对 MCP tunnels 页面和隧道详情仅有只读访问权限。
一种让您的堆栈向 Tunnels API 进行身份验证的方式。 请选择以下方式之一：
- 编程式访问（推荐）。 在创建隧道时设置 Workload Identity Federation（工作负载身份联合），以便您的堆栈从身份提供商生成短期 API 令牌、获取隧道令牌，并自动生成和注册 CA 证书。这需要管理联合规则的权限、已注册的 OIDC 颁发者，以及具有 org:manage_tunnels 范围的联合规则。
- 手动方式。 跳过编程式访问。创建隧道后，获取隧道令牌，自行生成并注册 CA 证书，然后将令牌和您的服务器证书作为密钥提供给隧道堆栈。

创建隧道

打开 MCP tunnels 页面
在 Console 侧边栏中，转到 Manage > MCP tunnels。隧道的作用域限定在工作区级别；新隧道属于 Console 中当前选定的工作区，因此如果您希望将其放在其他位置，请先切换工作区。
为隧道命名
点击 New tunnel，然后在 Create tunnel 对话框中输入名称。名称为必填项，用于在列表、详情页面和智能体 MCP 服务器选择器中标识该隧道。系统会自动分配一个格式为 abcd1234.tunnel.anthropic.com 的域名。
（可选）设置编程式访问
如果您的角色可以管理联合规则，则会显示 Set up programmatic access 开关（默认关闭）。如果没有此权限，Console 会在该位置显示一条提示，您的隧道堆栈将改用手动流程。无论哪种方式，创建流程的其余部分都是相同的。
编程式访问依赖于 Workload Identity Federation；如果您不熟悉联合颁发者、规则和服务账户，请先阅读该页面。要打开此开关，您需要：
1. 已注册的 OIDC 颁发者，对应您的堆栈所提供令牌的身份提供商（例如 Kubernetes 集群、AWS IAM、Google Cloud 或 GitHub Actions）。如果您的组织还没有，请在 Settings > Workload identity > Issuers 下注册一个。
2. 具有 org:manage_tunnels 范围的联合规则。 打开开关后会显示 Federation rule 选择器。选择具有该范围的现有规则，或点击 Create federation rule 以内联方式创建一个。
3. 将规则的服务账户添加到此工作区。 Tunnels API 根据服务账户的工作区成员资格进行授权。如果您在组织默认工作区以外的工作区中创建隧道，请在 Settings > Workspaces 下添加该服务账户，并在部署时传递工作区 ID（Helm 使用 api.wif.workspaceId，Compose 使用 ANTHROPIC_WORKSPACE_ID）。
完全支持跳过此步骤；两个部署指南都有 Without programmatic access（无编程式访问）选项卡。
创建隧道
点击 Create tunnel。Console 会配置隧道并打开详情页面。

记录部署标识符

两种部署路径都需要：

隧道 ID（tnl_...），显示在隧道详情页面上。
隧道域名（abcd1234.tunnel.anthropic.com），显示在隧道详情页面上。用作代理的 tunnel_domain 以及服务器证书的 SAN。

其他所需内容取决于凭据配置模式：

使用编程式访问	不使用编程式访问
您所选规则的联合规则 ID（`fdrl_...`）。该规则是组织级别的，不存储在隧道上；可在 Settings > Workload identity > Rules 下找到。	隧道令牌，通过详情页面上 Token 旁边的眼睛图标显示。请将其视为密钥。参见获取连接详情。
组织 ID（一个 UUID），显示在 Settings > Organization 下。	您生成并在隧道上注册的 CA 证书。

您的组织最多可以拥有 10 个活动隧道。创建隧道不会建立任何连接；只有当您的堆栈使用隧道令牌拨入并注册了 CA 证书后，连接才会建立。

获取连接详情

打开隧道。详情页面显示包含域名和令牌的 Connection 部分以及 Certificates 部分。

字段	描述
Domain	复制分配的 `abcd1234.tunnel.anthropic.com` 值。您的代理路由是此域名的子域。
Token	点击眼睛图标（Show token）以获取隧道令牌，然后使用复制图标将其复制到隧道堆栈的密钥存储中。点击 Rotate token 可使当前令牌失效并颁发新令牌。

添加 CA 证书

找到 Certificates 部分
在隧道的详情页面上，滚动到 Certificates 部分并点击 Add certificate。
提供证书
点击 Choose file 选择 .pem、.crt 或 .cer 文件，将文件拖放到文本区域，或直接粘贴 PEM 块。该对话框会拒绝私钥材料以及不是 -----BEGIN CERTIFICATE----- 块的内容。文件大小必须为 8 kB 或更小。
添加证书
点击 Add certificate。指纹和过期时间会显示在证书列表中，该部分标题上的插槽计数会递增。

部署隧道堆栈

隧道已在 Console 中存在，但在隧道堆栈在您的网络内部运行并使用隧道令牌拨入之前，不会有任何流量通过。请按照以下部署指南之一进行操作：

使用 Docker Compose 部署

在单个主机上运行隧道堆栈。支持编程式访问和手动流程。

使用 Helm 部署

在 Kubernetes 集群上运行隧道堆栈。支持编程式访问和手动流程。

在智能体中使用隧道

打开 New session 对话框
转到 Managed Agents > Sessions 并点击 New session。
定义内联智能体
在智能体选择器中，选择 Create new agent，以便您可以直接编辑 MCP 服务器列表。
添加 MCP 服务器
点击 + MCP Server 并打开下拉列表。在当前工作区中创建的隧道会显示在列表顶部，位于公共连接器目录之上。选择代理您要访问的服务器的隧道。
提供路由信息
卡片显示两个可选字段：Subdomain（作为前缀添加到隧道域名）和 Path（附加在域名之后）。根据您的代理路由配置方式，填写其中一个或两个字段。Resolves to 行显示智能体连接到的完整 MCP 服务器 URL。

隧道负责传输流量，不会对上游 MCP 服务器进行身份验证。请按照与任何其他 MCP 服务器相同的方式在 MCP 服务器上配置 OAuth 或 Bearer 身份验证。

归档隧道

归档会立即阻止隧道接受连接，且此操作是永久性的。

在 MCP tunnels 列表中，打开该隧道的行菜单并选择 Archive。当您按 Archived 或 All 筛选列表时，已归档的隧道仍然可见。

后续步骤

使用 Helm 部署

使用 Anthropic Helm chart 在 Kubernetes 集群上安装。

安全性

加固指南、凭据轮换和泄露响应。

Was this page helpful?