訊息MCP 通道

在 Console 中管理通道

從 Claude Console 建立通道、註冊 CA 憑證、取得通道權杖，並將經由通道連線的 MCP 伺服器附加至代理程式。

MCP 通道目前處於研究預覽階段。申請存取權限以進行試用。

本頁涵蓋 MCP 通道部署中 Console 端的操作：建立通道、註冊您的 CA 憑證、取得通道權杖，以及將上游 MCP 伺服器附加至代理程式。使用 Helm 部署 MCP 通道與使用 Docker Compose 部署 MCP 通道則涵蓋如何在您的網路內執行通道堆疊。

先決條件

一個或多個 MCP 伺服器在您的私有網路中執行。通道會將流量路由至這些伺服器，但不會代管它們。請參閱遠端 MCP 伺服器以取得可部署的範例。
具有「管理通道」權限的 Console 角色，以便您建立和封存通道、輪替權杖及管理憑證。組織管理員和擁有者預設具有此權限；自訂角色和個別帳戶授權也可包含此權限。不具此權限的角色對 MCP tunnels 頁面和通道詳細資料僅有唯讀存取權。
讓您的堆疊向 Tunnels API 進行驗證的方式。 請選擇其中一種：
- 程式化存取（建議）。 在建立通道時設定 Workload Identity Federation，讓您的堆疊從身分提供者產生短期 API 權杖、擷取通道權杖，並自動產生及註冊 CA 憑證。需要管理聯合規則的權限、已註冊的 OIDC 簽發者，以及具有 org:manage_tunnels 範圍的聯合規則。
- 手動。 略過程式化存取。建立通道後，取得通道權杖、自行產生並註冊 CA 憑證，然後將權杖和您的伺服器憑證作為密鑰提供給您的通道堆疊。

建立通道

開啟 MCP tunnels 頁面
在 Console 側邊欄中，前往 Manage > MCP tunnels。通道的範圍限定於工作區；新通道屬於 Console 中目前選取的工作區，因此若您希望通道位於其他工作區，請先切換工作區。
為通道命名
點擊 New tunnel，並在 Create tunnel 對話方塊中輸入名稱。名稱為必填項目，用於在清單、詳細資料頁面及代理程式 MCP 伺服器選擇器中識別該通道。系統會自動指派格式為 abcd1234.tunnel.anthropic.com 的網域。
選擇性設定程式化存取
如果您的角色可以管理聯合規則，會出現 Set up programmatic access 切換開關（預設為關閉）。若無此權限，Console 會在該位置顯示通知，您的通道堆疊則改用手動流程。無論哪種方式，建立流程的其餘部分都相同。
程式化存取依賴 Workload Identity Federation；如果您不熟悉聯合簽發者、規則和服務帳戶，請先閱讀該頁面。若要開啟此切換開關，您需要：
1. 已註冊的 OIDC 簽發者，對應您的堆疊所提供權杖的身分提供者（例如 Kubernetes 叢集、AWS IAM、Google Cloud 或 GitHub Actions）。如果您的組織尚未擁有，請在 Settings > Workload identity > Issuers 下註冊一個。
2. 具有 org:manage_tunnels 範圍的聯合規則。 開啟切換開關後會顯示 Federation rule 選擇器。選擇具有該範圍的現有規則，或點擊 Create federation rule 以內嵌方式建立一個。
3. 將該規則的服務帳戶加入此工作區。 Tunnels API 會根據服務帳戶的工作區成員資格進行授權。如果您在組織預設工作區以外的工作區中建立通道，請在 Settings > Workspaces 下新增該服務帳戶，並在部署時傳遞工作區 ID（Helm 使用 api.wif.workspaceId，Compose 使用 ANTHROPIC_WORKSPACE_ID）。
完全支援略過此步驟；兩份部署指南都有 Without programmatic access 分頁。
建立通道
點擊 Create tunnel。Console 會佈建通道並開啟詳細資料頁面。

記錄部署識別碼

兩種部署路徑都需要：

通道 ID（tnl_...），顯示於通道詳細資料頁面。
通道網域（abcd1234.tunnel.anthropic.com），顯示於通道詳細資料頁面。用作代理伺服器的 tunnel_domain，以及伺服器憑證 SAN 中的值。

您還需要哪些項目取決於憑證佈建模式：

使用程式化存取	不使用程式化存取
您所選規則的聯合規則 ID（`fdrl_...`）。該規則屬於組織層級，不會儲存在通道上；請在 Settings > Workload identity > Rules 下查找。	通道權杖，在詳細資料頁面上點擊 Token 旁的眼睛圖示即可顯示。請將其視為密鑰。請參閱取得連線詳細資料。
組織 ID（UUID），顯示於 Settings > Organization 下。	您自行產生並在通道上註冊的 CA 憑證。

使用程式化存取時，您的堆疊會透過 Tunnels API 擷取通道權杖、在本機產生 CA 和伺服器憑證（私密金鑰永遠不會離開您的環境），並僅向 Anthropic 註冊 CA 的公開憑證。您仍需負責保護私密金鑰，並在伺服器憑證到期前進行更新。

您的組織最多可擁有 10 個作用中的通道。建立通道並不會建立任何連線；連線會在您的堆疊使用通道權杖撥入且已註冊 CA 憑證後才建立。

取得連線詳細資料

開啟通道。詳細資料頁面會顯示包含網域和權杖的 Connection 區段，以及 Certificates 區段。

欄位	說明
Domain	複製指派的 `abcd1234.tunnel.anthropic.com` 值。您的代理伺服器路由是此網域的子網域。
Token	點擊眼睛圖示（Show token）以擷取通道權杖，然後使用複製圖示將其複製到您通道堆疊的密鑰儲存區。點擊 Rotate token 可使目前的權杖失效並簽發新的權杖。

每次顯示和輪替都會記錄在您組織的 Compliance API 活動日誌中。輪替不會中斷已建立的 cloudflared 連線，因此您可以先輪替、使用新值重新部署，然後讓舊連線自然結束。

新增 CA 憑證

Anthropic 會根據您在通道上註冊的 CA 憑證，驗證連至您代理伺服器的內層 TLS。沒有作用中憑證的通道無法接受連線，且在註冊憑證之前不會出現在代理程式 MCP 伺服器選擇器中。

找到 Certificates 區段
在通道的詳細資料頁面上，捲動至 Certificates 區段並點擊 Add certificate。
提供憑證
點擊 Choose file 以選取 .pem、.crt 或 .cer 檔案、將檔案拖曳至文字區域，或直接貼上 PEM 區塊。此對話方塊會拒絕私密金鑰內容以及非 -----BEGIN CERTIFICATE----- 區塊的內容。檔案大小必須為 8 kB 或更小。
新增憑證
點擊 Add certificate。指紋和到期日會出現在憑證清單中，且區段標題上的欄位計數會遞增。

一個通道最多可保留兩個作用中的憑證，以便您在不停機的情況下進行輪替：在舊憑證旁註冊新憑證、使用新的金鑰對重新部署您的代理伺服器、確認流量正常運作，然後在舊憑證的列上點擊 Revoke。已撤銷的憑證會以 Revoked 標記繼續顯示在清單中。

部署通道堆疊

通道已存在於 Console 中，但在通道堆疊於您的網路內執行並使用通道權杖撥入之前，不會有任何流量通過。請依照其中一份部署指南操作：

使用 Docker Compose 部署

在單一主機上執行通道堆疊。支援程式化存取和手動流程。

使用 Helm 部署

在 Kubernetes 叢集上執行通道堆疊。支援程式化存取和手動流程。

在代理程式中使用通道

當您的堆疊正在執行且已設定一個或多個 MCP 伺服器後，即可將上游 MCP 伺服器附加至 Managed Agent 工作階段。若要改為從 Messages API 呼叫相同的伺服器，請參閱使用經由通道連線的 MCP 伺服器。

選擇器僅顯示至少有一個作用中憑證的通道。在 MCP tunnels 清單中仍顯示 Needs certificate 的通道不會出現在下拉選單中；請先註冊 CA 憑證。選擇器的範圍也限定於工作區：它會列出與工作階段相同工作區中的通道，而非其他工作區的通道。

開啟 New session 對話方塊
前往 Managed Agents > Sessions 並點擊 New session。
定義內嵌代理程式
在代理程式選擇器中，選擇 Create new agent，以便您直接編輯 MCP 伺服器清單。
新增 MCP 伺服器
點擊 + MCP Server 並開啟下拉選單。在目前工作區中建立的通道會出現在清單頂端，位於公開連接器目錄之上。選取作為您要連線之伺服器前端的通道。
提供路由資訊
卡片會顯示兩個選填欄位：Subdomain（加在通道網域前）和 Path（附加在通道網域後）。根據您代理伺服器路由的設定方式，填寫其中一個或兩個欄位。Resolves to 行會顯示代理程式連線的完整 MCP 伺服器 URL。

通道負責傳輸流量；它不會向上游 MCP 伺服器進行驗證。請以與其他 MCP 伺服器相同的方式，在 MCP 伺服器上設定 OAuth 或 bearer 驗證。

封存通道

封存會立即停止通道接受連線，且此操作為永久性。

在 MCP tunnels 清單中，開啟該通道的列選單並選擇 Archive。當您依 Archived 或 All 篩選清單時，已封存的通道仍會顯示。

後續步驟

使用 Helm 部署

使用 Anthropic Helm chart 在 Kubernetes 叢集上安裝。

安全性

強化指引、憑證輪替及資安事件應變。

Was this page helpful?

訊息MCP 通道

在 Console 中管理通道

從 Claude Console 建立通道、註冊 CA 憑證、取得通道權杖，並將經由通道連線的 MCP 伺服器附加至代理程式。

MCP 通道目前處於研究預覽階段。申請存取權限以進行試用。

先決條件

一個或多個 MCP 伺服器在您的私有網路中執行。通道會將流量路由至這些伺服器，但不會代管它們。請參閱遠端 MCP 伺服器以取得可部署的範例。
具有「管理通道」權限的 Console 角色，以便您建立和封存通道、輪替權杖及管理憑證。組織管理員和擁有者預設具有此權限；自訂角色和個別帳戶授權也可包含此權限。不具此權限的角色對 MCP tunnels 頁面和通道詳細資料僅有唯讀存取權。
讓您的堆疊向 Tunnels API 進行驗證的方式。 請選擇其中一種：
- 程式化存取（建議）。 在建立通道時設定 Workload Identity Federation，讓您的堆疊從身分提供者產生短期 API 權杖、擷取通道權杖，並自動產生及註冊 CA 憑證。需要管理聯合規則的權限、已註冊的 OIDC 簽發者，以及具有 org:manage_tunnels 範圍的聯合規則。
- 手動。 略過程式化存取。建立通道後，取得通道權杖、自行產生並註冊 CA 憑證，然後將權杖和您的伺服器憑證作為密鑰提供給您的通道堆疊。

建立通道

開啟 MCP tunnels 頁面
在 Console 側邊欄中，前往 Manage > MCP tunnels。通道的範圍限定於工作區；新通道屬於 Console 中目前選取的工作區，因此若您希望通道位於其他工作區，請先切換工作區。
為通道命名
點擊 New tunnel，並在 Create tunnel 對話方塊中輸入名稱。名稱為必填項目，用於在清單、詳細資料頁面及代理程式 MCP 伺服器選擇器中識別該通道。系統會自動指派格式為 abcd1234.tunnel.anthropic.com 的網域。
選擇性設定程式化存取
如果您的角色可以管理聯合規則，會出現 Set up programmatic access 切換開關（預設為關閉）。若無此權限，Console 會在該位置顯示通知，您的通道堆疊則改用手動流程。無論哪種方式，建立流程的其餘部分都相同。
程式化存取依賴 Workload Identity Federation；如果您不熟悉聯合簽發者、規則和服務帳戶，請先閱讀該頁面。若要開啟此切換開關，您需要：
1. 已註冊的 OIDC 簽發者，對應您的堆疊所提供權杖的身分提供者（例如 Kubernetes 叢集、AWS IAM、Google Cloud 或 GitHub Actions）。如果您的組織尚未擁有，請在 Settings > Workload identity > Issuers 下註冊一個。
2. 具有 org:manage_tunnels 範圍的聯合規則。 開啟切換開關後會顯示 Federation rule 選擇器。選擇具有該範圍的現有規則，或點擊 Create federation rule 以內嵌方式建立一個。
3. 將該規則的服務帳戶加入此工作區。 Tunnels API 會根據服務帳戶的工作區成員資格進行授權。如果您在組織預設工作區以外的工作區中建立通道，請在 Settings > Workspaces 下新增該服務帳戶，並在部署時傳遞工作區 ID（Helm 使用 api.wif.workspaceId，Compose 使用 ANTHROPIC_WORKSPACE_ID）。
完全支援略過此步驟；兩份部署指南都有 Without programmatic access 分頁。
建立通道
點擊 Create tunnel。Console 會佈建通道並開啟詳細資料頁面。

記錄部署識別碼

兩種部署路徑都需要：

通道 ID（tnl_...），顯示於通道詳細資料頁面。
通道網域（abcd1234.tunnel.anthropic.com），顯示於通道詳細資料頁面。用作代理伺服器的 tunnel_domain，以及伺服器憑證 SAN 中的值。

您還需要哪些項目取決於憑證佈建模式：

使用程式化存取	不使用程式化存取
您所選規則的聯合規則 ID（`fdrl_...`）。該規則屬於組織層級，不會儲存在通道上；請在 Settings > Workload identity > Rules 下查找。	通道權杖，在詳細資料頁面上點擊 Token 旁的眼睛圖示即可顯示。請將其視為密鑰。請參閱取得連線詳細資料。
組織 ID（UUID），顯示於 Settings > Organization 下。	您自行產生並在通道上註冊的 CA 憑證。

您的組織最多可擁有 10 個作用中的通道。建立通道並不會建立任何連線；連線會在您的堆疊使用通道權杖撥入且已註冊 CA 憑證後才建立。

取得連線詳細資料

開啟通道。詳細資料頁面會顯示包含網域和權杖的 Connection 區段，以及 Certificates 區段。

欄位	說明
Domain	複製指派的 `abcd1234.tunnel.anthropic.com` 值。您的代理伺服器路由是此網域的子網域。
Token	點擊眼睛圖示（Show token）以擷取通道權杖，然後使用複製圖示將其複製到您通道堆疊的密鑰儲存區。點擊 Rotate token 可使目前的權杖失效並簽發新的權杖。

新增 CA 憑證

找到 Certificates 區段
在通道的詳細資料頁面上，捲動至 Certificates 區段並點擊 Add certificate。
提供憑證
點擊 Choose file 以選取 .pem、.crt 或 .cer 檔案、將檔案拖曳至文字區域，或直接貼上 PEM 區塊。此對話方塊會拒絕私密金鑰內容以及非 -----BEGIN CERTIFICATE----- 區塊的內容。檔案大小必須為 8 kB 或更小。
新增憑證
點擊 Add certificate。指紋和到期日會出現在憑證清單中，且區段標題上的欄位計數會遞增。

部署通道堆疊

通道已存在於 Console 中，但在通道堆疊於您的網路內執行並使用通道權杖撥入之前，不會有任何流量通過。請依照其中一份部署指南操作：

使用 Docker Compose 部署

在單一主機上執行通道堆疊。支援程式化存取和手動流程。

使用 Helm 部署

在 Kubernetes 叢集上執行通道堆疊。支援程式化存取和手動流程。

在代理程式中使用通道

開啟 New session 對話方塊
前往 Managed Agents > Sessions 並點擊 New session。
定義內嵌代理程式
在代理程式選擇器中，選擇 Create new agent，以便您直接編輯 MCP 伺服器清單。
新增 MCP 伺服器
點擊 + MCP Server 並開啟下拉選單。在目前工作區中建立的通道會出現在清單頂端，位於公開連接器目錄之上。選取作為您要連線之伺服器前端的通道。
提供路由資訊
卡片會顯示兩個選填欄位：Subdomain（加在通道網域前）和 Path（附加在通道網域後）。根據您代理伺服器路由的設定方式，填寫其中一個或兩個欄位。Resolves to 行會顯示代理程式連線的完整 MCP 伺服器 URL。

通道負責傳輸流量；它不會向上游 MCP 伺服器進行驗證。請以與其他 MCP 伺服器相同的方式，在 MCP 伺服器上設定 OAuth 或 bearer 驗證。

封存通道

封存會立即停止通道接受連線，且此操作為永久性。

在 MCP tunnels 清單中，開啟該通道的列選單並選擇 Archive。當您依 Archived 或 All 篩選清單時，已封存的通道仍會顯示。

後續步驟

使用 Helm 部署

使用 Anthropic Helm chart 在 Kubernetes 叢集上安裝。

安全性

強化指引、憑證輪替及資安事件應變。

Was this page helpful?