Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usar o servidor MCP remoto do App Design Center

Este documento mostra como usar o servidor remoto do Protocolo de Contexto de Modelo (MCP) do Application Design Center para se conectar a aplicativos de IA, incluindo a CLI do Gemini, o ChatGPT, o Claude e aplicativos personalizados que você está desenvolvendo. Com o servidor MCP remoto do App Design Center, você pode projetar e implantar aplicativos e modelos para padronizar sua infraestrutura de Google Cloud .

Recomendamos que você use o servidor MCP do App Design Center e o servidor MCP do Gemini Cloud Assist juntos para projetar e implantar aplicativos.

O servidor MCP remoto da central de design de aplicativos é ativado quando você ativa a API Application Design Center.

O padrão Protocolo de Contexto de Modelo (MCP) padroniza como os modelos de linguagem grandes (LLMs) e os aplicativos ou agentes de IA se conectam a fontes de dados externas. Com os servidores do MCP, você pode usar as ferramentas, os recursos e os comandos deles para realizar ações e receber dados atualizados do serviço de back-end.

Qual é a diferença entre servidores MCP locais e remotos?

Servidores MCP locais: Normalmente executados na máquina local e usam os fluxos de entrada e saída padrão (stdio) para comunicação entre serviços no mesmo dispositivo.
Servidores MCP remotos: Executar na infraestrutura do serviço e oferecer um endpoint HTTP para aplicativos de IA para comunicação entre o cliente MCP de IA e o servidor MCP. Para mais informações sobre a arquitetura do MCP, consulte Arquitetura do MCP.

Servidores MCP remotos e do Google Google Cloud

Os servidores MCP remotos do Google e do Google Cloud têm os seguintes recursos e benefícios:

Descoberta simplificada e centralizada
Endpoints HTTP globais ou regionais gerenciados
Autorização detalhada
Segurança opcional de comandos e respostas com a proteção do Model Armor
Registro de auditoria centralizado

Para informações sobre outros servidores MCP e controles de segurança e governança disponíveis para servidores MCP do Google Cloud, consulte Visão geral dos servidores MCP do Google Cloud.

Antes de começar

Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Instale a CLI do Google Cloud. Após a instalação, inicialize a Google Cloud CLI executando o seguinte comando:

gcloud init

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

Instale a CLI do Google Cloud. Após a instalação, inicialize a Google Cloud CLI executando o seguinte comando:

gcloud init

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

Ativar a API

Ative o serviço do App Design Center no seu projeto:

gcloud services enable designcenter.googleapis.com \
    --project=PROJECT_ID

Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Funções exigidas

Para receber as permissões necessárias para usar o servidor MCP do App Design Center, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você quer usar o servidor MCP do App Design Center:

Fazer chamadas de ferramentas do MCP: Usuário da ferramenta MCP (roles/mcp.toolUser)
Configurar o App Design Center: Administrador do Application Design Center (roles/designcenter.admin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar o servidor MCP do App Design Center. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para usar o servidor MCP do App Design Center:

Faça chamadas de ferramentas do MCP: mcp.tools.call

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Autenticação e autorização

O servidor MCP remoto do Application Design Center usa o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

O App Design Center não aceita chaves de API como método de autenticação.

Recomendamos que você crie uma identidade separada para agentes que usam ferramentas do MCP para que o acesso aos recursos possa ser controlado e monitorado. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.

Escopos OAuth do MCP do App Design Center

O OAuth 2.0 usa escopos e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O App Design Center tem o seguinte escopo OAuth da ferramenta MCP:

URI de escopo para a CLI gcloud	Descrição
`https://www.googleapis.com/auth/cloud-platform`	Ver e gerenciar recursos do App Design Center.

Configurar um cliente MCP para usar o servidor MCP do App Design Center

Aplicativos e agentes de IA, como Claude ou Antigravity, podem instanciar um cliente MCP que se conecta a um único servidor MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores do MCP. Se o aplicativo não estiver listado nas orientações específicas do cliente, use as informações a seguir para se conectar na maioria dos aplicativos.

No seu aplicativo de IA, procure uma maneira de adicionar ou se conectar a um servidor MCP remoto. Para o servidor MCP do App Design Center, insira as seguintes informações, conforme necessário:

Propriedade da configuração	Valor
Nome do servidor	`application_design_center`
URL do servidor ou Endpoint	`https://designcenter.googleapis.com/mcp`
Transporte	`HTTP`
Detalhes da autenticação	Dependendo de como você quer autenticar, é possível inserir suas credenciais do Google Cloud , o ID e a chave secreta do cliente OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores do MCP.
Escopo do OAuth	O escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor MCP do App Design Center.

Para orientações específicas sobre como configurar e se conectar ao servidor do MCP, consulte Orientações específicas do cliente.

Para orientações mais gerais, consulte os seguintes recursos:

Listar ferramentas disponíveis

Use o inspetor do MCP para listar ferramentas ou envie uma solicitação HTTP tools/list diretamente ao servidor MCP remoto do Centro de design de apps. O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: designcenter.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemplos de casos de uso

Use o servidor MCP do App Design Center com o servidor MCP do Gemini Cloud Assist para ajudar você a projetar e implantar sua infraestrutura de Google Cloud . Use esses servidores MCP juntos para alcançar as seguintes metas:

Gerar um design de infraestrutura com base em metas: descreva os Google Cloud serviços necessários e a meta que você quer alcançar.

Comando do usuário: Help me set up a web application using Cloud Run, Cloud SQL, and Cloud Load Balancing in the eu-west-2 region.

Ação do agente: os agentes geram um projeto de arquitetura que se adapta à sua meta usando os serviços Google Cloud que você quer.
Gerar um design de infraestrutura com base no código do aplicativo atual: forneça o código-fonte do aplicativo para receber um design ideal.

Comando do usuário: Design the cloud architecture for my Python application located in this repository: YOUR_APP_REPO_URL.

Ação do agente: os agentes analisam o código do aplicativo e geram uma proposta de design de arquitetura ideal.
Refine de forma iterativa o design da sua infraestrutura: comece com uma arquitetura de base e faça mudanças incrementais.

Comando do usuário: For the Cloud Storage bucket in my design, set a retention policy to delete objects after 90 days.

Ação do agente: os agentes podem ajustar o design da arquitetura para atualizar configurações de componentes, adicionar novos recursos e fazer novas conexões.
Analise a infraestrutura em relação às práticas recomendadas de segurança e design: avalie a arquitetura proposta em relação a frameworks estabelecidos, como os de segurança definidos por um administrador no Security Command Center.

Comando do usuário: Assess the infrastructure design against best practices.

Ação do agente: os agentes avaliam o design de acordo com as práticas recomendadas para identificar possíveis problemas.
Corrija as descobertas de segurança identificadas: resolva os problemas identificados na análise de segurança.

Comando do usuário: Fix the security violations you identified to align with my organization's specified frameworks.

Ação do agente: os agentes corrigem os problemas identificados durante a avaliação de segurança.
Implante a infraestrutura e o aplicativo gerados em Google Cloud: quando você estiver satisfeito com o design, implante o aplicativo.

Comando do usuário: Deploy the current application design.

Ação do agente: os agentes implantam o design da infraestrutura e o código do aplicativo em Google Cloud usando o App Design Center.
Diagnosticar e corrigir falhas de implantação: se a implantação falhar, receba suporte para solução de problemas.

Comando do usuário: Troubleshoot the deployment failure.

Ação do agente: os agentes analisam os registros de erros, identificam a causa raiz e fornecem sugestões para resolver problemas como erros de permissão e configuração.

Configurações opcionais de segurança

O MCP apresenta novos riscos e considerações de segurança devido à grande variedade de ações que podem ser realizadas com as ferramentas do MCP. Para minimizar e gerenciar esses riscos, oGoogle Cloud oferece configurações padrão e políticas personalizáveis para controlar o uso das ferramentas do MCP na sua organização ou projeto do Google Cloud.

Para mais informações sobre segurança e governança do MCP, consulte Segurança e proteção de IA.

Usar o Model Armor

O Model Armor é um serviço doGoogle Cloud criado para aumentar a segurança dos seus aplicativos de IA. Ele verifica proativamente os comandos e respostas de LLMs, protege contra vários riscos e apoia práticas de IA responsável. Seja no seu ambiente de nuvem ou em provedores de nuvem externos, o Model Armor ajuda a evitar entradas maliciosas, verificar a segurança do conteúdo, proteger dados sensíveis, manter a conformidade e aplicar suas políticas de segurança de IA de maneira consistente em todo o seu cenário diversificado de IA.

O Model Armor está disponível apenas em locais regionais específicos. Se o Model Armor estiver ativado para um projeto e uma chamada para esse projeto vier de uma região sem suporte, o Model Armor fará uma chamada entre regiões. Para mais informações, consulte Locais do Model Armor.

Ativar o Model Armor

É necessário ativar as APIs do Model Armor antes de usar o Model Armor.

Console

Ative a API Model Armor.
Funções necessárias para ativar APIs
Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.
Ativar a API
Selecione o projeto em que você quer ativar o Model Armor.

gcloud

Antes de começar, siga estas etapas usando a Google Cloud CLI com a API Model Armor:

No console do Google Cloud , ative o Cloud Shell.

Ativar o Cloud Shell

Na parte de baixo do console Google Cloud , uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a CLI do Google Cloud já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.
Execute o comando a seguir para definir o endpoint de API do serviço Model Armor.
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
Substitua LOCATION pela região em que você quer usar o Model Armor.

Configurar a proteção para servidores MCP remotos e do Google Google Cloud

Para proteger as chamadas e respostas da ferramenta MCP, use as configurações mínimas do Model Armor. Uma configuração mínima define os filtros de segurança mínimos que se aplicam a todo o projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas de ferramentas do MCP no projeto.

Configure uma configuração mínima do Model Armor com a limpeza do MCP ativada. Para mais informações, consulte Configurar configurações mínimas do Model Armor.

Confira o exemplo de comando a seguir:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Observe as seguintes configurações:

INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor MCP do Google e bloqueia solicitações e respostas que correspondem aos filtros.
ENABLED: a configuração que ativa um filtro ou uma restrição.
MEDIUM_AND_ABOVE: o nível de confiança das configurações de filtro de IA responsável - perigoso. É possível modificar essa configuração, mas valores mais baixos podem resultar em mais falsos positivos. Para mais informações, consulte Níveis de confiança do Model Armor.

Desativar a verificação do tráfego do MCP com o Model Armor

Para impedir que o Model Armor verifique automaticamente o tráfego de e para os servidores do Google MCP com base nas configurações mínimas do projeto, execute o seguinte comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Substitua PROJECT_ID pelo ID do projeto Google Cloud . O Model Armor não aplica automaticamente as regras definidas nas configurações de limite mínimo deste projeto ao tráfego do servidor do Google MCP.

As configurações mínimas e a configuração geral do Model Armor podem afetar mais do que apenas o MCP. Como o Model Armor se integra a serviços como a Vertex AI, as mudanças feitas nas configurações mínimas podem afetar a verificação de tráfego e os comportamentos de segurança em todos os serviços integrados, não apenas no MCP.

Controlar o uso do MCP com políticas de negação do IAM

As políticas de negação do Identity and Access Management (IAM) ajudam a proteger os servidores MCP remotos do Google Cloud . Configure essas políticas para bloquear o acesso indesejado às ferramentas do MCP.

Por exemplo, é possível negar ou permitir o acesso com base em:

O diretor
Propriedades da ferramenta, como somente leitura
O ID do cliente OAuth do aplicativo

Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.

A seguir

Para saber como usar o servidor MCP em um ambiente de desenvolvimento integrado, consulte Projetar e implantar um aplicativo usando a CLI do Gemini.
Use o servidor MCP do App Design Center e o servidor MCP do Gemini Cloud Assist juntos.
Saiba mais sobre os servidores MCP do Google Cloud.