Nous vous recommandons d'utiliser ensemble le serveur MCP App Design Center et le serveur MCP Gemini Cloud Assist pour concevoir et déployer des applications.
Le serveur MCP distant Application Design Center est activé lorsque vous activez l'API Application Design Center.Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.
Quelle est la différence entre les serveurs MCP locaux et distants ?
- Serveurs MCP locaux
- S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.
- Serveurs MCP à distance
- s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.
Google et les serveurs MCP distants Google Cloud
Les serveurs MCP distants et Google présentent les fonctionnalités et avantages suivants : Google Cloud- Découverte simplifiée et centralisée
- Points de terminaison HTTP mondiaux ou régionaux gérés
- Autorisations précises
- Sécurité facultative des requêtes et des réponses avec la protection Model Armor
- Journalisation d'audit centralisée
Pour en savoir plus sur les autres serveurs MCP, ainsi que sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.
Avant de commencer
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Activer l'API
Activez le service App Design Center dans votre projet :
gcloud services enable designcenter.googleapis.com \
--project=PROJECT_ID
Remplacez PROJECT_ID par l'ID du projet Google Cloud .
Rôles requis
Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP App Design Center, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP App Design Center :
-
Effectuer des appels d'outils MCP :
Utilisateur de l'outil MCP (
roles/mcp.toolUser) -
Configurer App Design Center :
Administrateur App Design Center (
roles/designcenter.admin)
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP de l'App Design Center. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Vous devez disposer des autorisations suivantes pour utiliser le serveur MCP du centre de conception d'applications :
-
Effectuer des appels d'outils MCP :
mcp.tools.call
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Authentification et autorisation
Le serveur MCP distant du centre de conception d'applications utilise le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.App Design Center n'accepte pas les clés API comme méthode d'authentification.
Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP.
Champs d'application OAuth MCP App Design Center
OAuth 2.0 utilise des niveaux d'accès et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.
App Design Center dispose du champ d'application OAuth de l'outil MCP suivant :
| URI du champ d'application pour gcloud CLI | Description |
|---|---|
https://www.googleapis.com/auth/cloud-platform |
Affichez et gérez les ressources App Design Center. |
Configurer un client MCP pour qu'il utilise le serveur MCP App Design Center
Les applications et agents d'IA, tels que Claude ou Antigravity, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut comporter plusieurs clients qui se connectent à différents serveurs MCP. Si votre application n'est pas listée dans les conseils spécifiques aux clients, vous pouvez utiliser les informations suivantes pour vous connecter depuis la plupart des applications.
Dans votre application d'IA, recherchez un moyen d'ajouter un serveur MCP distant ou de vous y connecter. Pour le serveur MCP App Design Center, saisissez les informations suivantes, si nécessaire :
| Propriété de configuration | Valeur |
|---|---|
| Nom du serveur | application_design_center |
| URL du serveur ou point de terminaison | https://designcenter.googleapis.com/mcp |
| Transport | HTTP |
| Détails de l'authentification | Selon la méthode d'authentification souhaitée, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs MCP. |
| Champ d'application OAuth | Le champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP App Design Center. |
Pour obtenir des conseils spécifiques à une application sur la configuration et la connexion au serveur MCP, consultez Conseils spécifiques aux clients.
Pour obtenir des conseils plus généraux, consultez les ressources suivantes :
Lister les outils disponibles
Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant App Design Center. La méthode tools/list ne nécessite pas d'authentification.
POST /mcp HTTP/1.1
Host: designcenter.googleapis.com
Content-Type: application/json
{
"jsonrpc": "2.0",
"method": "tools/list",
}
Exemples de cas d'utilisation
Utilisez le serveur MCP App Design Center avec le serveur MCP Gemini Cloud Assist pour vous aider à concevoir et à déployer votre infrastructure Google Cloud . Utilisez ces serveurs MCP ensemble pour atteindre les objectifs suivants :
Générez une conception d'infrastructure basée sur des objectifs : décrivez les services Google Clouddont vous avez besoin et l'objectif que vous souhaitez atteindre.
Requête de l'utilisateur :
Help me set up a web application using Cloud Run, Cloud SQL, and Cloud Load Balancing in the eu-west-2 region.Action de l'agent : les agents génèrent une conception d'architecture adaptée à votre objectif à l'aide des services Google Cloud de votre choix.
Générez une conception d'infrastructure basée sur le code d'application existant : fournissez le code source de votre application pour obtenir une conception optimale.
Requête de l'utilisateur :
Design the cloud architecture for my Python application located in this repository: YOUR_APP_REPO_URL.Action de l'agent : les agents analysent le code de votre application et génèrent une proposition de conception d'architecture optimale.
Affinez progressivement la conception de votre infrastructure : commencez par une architecture de référence et apportez des modifications incrémentales.
Requête de l'utilisateur :
For the Cloud Storage bucket in my design, set a retention policy to delete objects after 90 days.Action de l'agent : les agents peuvent ajuster la conception de votre architecture pour mettre à jour les configurations des composants, ajouter de nouvelles ressources et établir de nouvelles connexions.
Analysez l'infrastructure par rapport aux bonnes pratiques de sécurité et de conception : évaluez l'architecture que vous proposez par rapport aux frameworks établis, tels que les frameworks de sécurité définis par un administrateur dans Security Command Center.
Requête de l'utilisateur :
Assess the infrastructure design against best practices.Action de l'agent : les agents évaluent la conception par rapport aux bonnes pratiques pour identifier les problèmes potentiels.
Corrigez les problèmes de sécurité identifiés : résolvez les problèmes identifiés dans l'analyse de sécurité.
Requête de l'utilisateur :
Fix the security violations you identified to align with my organization's specified frameworks.Action de l'agent : les agents corrigent les problèmes identifiés lors de l'évaluation de la sécurité.
Déployez l'infrastructure et l'application générées sur Google Cloud : lorsque vous êtes satisfait de votre conception, déployez votre application.
Requête de l'utilisateur :
Deploy the current application design.Action de l'agent : les agents déploient la conception de votre infrastructure et le code de l'application sur Google Cloud à l'aide d'App Design Center.
Diagnostiquer et corriger les échecs de déploiement : si le déploiement échoue, obtenez de l'aide pour résoudre le problème.
Requête de l'utilisateur :
Troubleshoot the deployment failure.Action de l'agent : les agents analysent les journaux d'erreurs, identifient la cause première et fournissent des suggestions pour résoudre les problèmes tels que les erreurs d'autorisation et de configuration.
Configurations de sécurité et de protection facultatives
MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques,Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou projet Google Cloud.
Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.
Utiliser Model Armor
Model Armor est un serviceGoogle Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à maintenir la conformité et à appliquer vos règles de sécurité de l'IA de manière cohérente dans votre paysage d'IA diversifié.
Model Armor n'est disponible que dans certaines régions. Si Model Armor est activé pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor effectue un appel multirégional. Pour en savoir plus, consultez Emplacements de Model Armor.
Activer Model Armor
Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.
Console
Activez l'API Model Armor.
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (
roles/serviceusage.serviceUsageAdmin), qui contient l'autorisationserviceusage.services.enable. Découvrez comment attribuer des rôles.Sélectionnez le projet dans lequel vous souhaitez activer Model Armor.
gcloud
Avant de commencer, suivez ces étapes à l'aide de la Google Cloud CLI avec l'API Model Armor :
Dans la console Google Cloud , activez Cloud Shell.
En bas de la console Google Cloud , une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement de shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.
-
Exécutez la commande suivante pour définir le point de terminaison de l'API pour le service Model Armor.
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
Remplacez
LOCATIONpar la région dans laquelle vous souhaitez utiliser Model Armor.
Configurer la protection pour les serveurs MCP Google et Google Cloud distants
Pour protéger les appels et les réponses de votre outil MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.
Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.
Consultez l'exemple de commande suivant :
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'
Remplacez PROJECT_ID par l'ID du projet Google Cloud .
Notez les paramètres suivants :
INSPECT_AND_BLOCK: type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.ENABLED: paramètre qui active un filtre ou une application forcée.MEDIUM_AND_ABOVE: niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.
Désactiver l'analyse du trafic MCP avec Model Armor
Pour empêcher Model Armor d'analyser automatiquement le trafic vers et depuis les serveurs MCP Google en fonction des paramètres de plancher du projet, exécutez la commande suivante :
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
Remplacez PROJECT_ID par l'ID du projet Google Cloud . Model Armor n'applique pas automatiquement les règles définies dans les paramètres de plancher de ce projet au trafic des serveurs MCP Google.
Les paramètres de plancher et la configuration générale de Model Armor peuvent avoir un impact au-delà du MCP. Étant donné que Model Armor s'intègre à des services tels que Vertex AI, toute modification apportée aux paramètres de seuil peut affecter l'analyse du trafic et les comportements de sécurité dans tous les services intégrés, et pas seulement dans MCP.
Contrôler l'utilisation de MCP avec des stratégies de refus IAM
Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance Google Cloud . Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.
Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :
- Le compte principal
- Propriétés de l'outil, comme la lecture seule
- ID client OAuth de l'application
Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.
Étapes suivantes
- Pour savoir comment utiliser le serveur MCP dans un IDE, consultez Concevoir et déployer une application à l'aide de Gemini CLI.
- Utilisez le serveur MCP App Design Center et le serveur MCP Gemini Cloud Assist ensemble.
- En savoir plus sur les serveurs MCP Google Cloud