Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

使用 App Design Center 远程 MCP 服务器

本文档介绍了如何使用 Application Design Center 远程 Model Context Protocol (MCP) 服务器连接到 Gemini CLI、ChatGPT、Claude 和您正在开发的自定义应用等 AI 应用。借助 App Design Center 远程 MCP 服务器，您可以设计和部署应用及模板，以标准化您的 Google Cloud 基础设施。

我们建议您同时使用 App Design Center MCP 服务器和 Gemini Cloud Assist MCP 服务器来设计和部署应用。

启用 Application Design Center API 后，系统会启用 Application Design Center 远程 MCP 服务器。

Model Context Protocol (MCP) 可规范大语言模型 (LLM) 和 AI 应用或代理连接到外部数据源的方式。借助 MCP 服务器，您可以使用其工具、资源和提示来执行操作，并从其后端服务获取更新后的数据。

本地 MCP 服务器和远程 MCP 服务器有何区别？

本地 MCP 服务器: 通常在本地机器上运行，并使用标准输入和输出流 (stdio) 在同一设备上的服务之间进行通信。
远程 MCP 服务器: 在服务的基础设施上运行，并向 AI 应用提供 HTTP 端点，以实现 AI MCP 客户端与 MCP 服务器之间的通信。如需详细了解 MCP 架构，请参阅 MCP 架构。

Google 和 Google Cloud 远程 MCP 服务器

Google 和 Google Cloud 远程 MCP 服务器具有以下功能和优势：

简化了集中式发现
托管式全球或区域 HTTP 端点
细粒度授权
使用 Model Armor 保护提示和回答安全（可选）
集中式审核日志记录

如需了解其他 MCP 服务器，以及适用于 Google Cloud MCP 服务器的安全性和治理控制措施，请参阅 Google Cloud MCP 服务器概览。

准备工作

登录您的 Google Cloud 账号。如果您是 Google Cloud新手，请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

安装 Google Cloud CLI。安装完成后，运行以下命令来初始化 Google Cloud CLI：

gcloud init

如果您使用的是外部身份提供方 (IdP)，则必须先使用联合身份登录 gcloud CLI。

安装 Google Cloud CLI。安装完成后，运行以下命令来初始化 Google Cloud CLI：

gcloud init

如果您使用的是外部身份提供方 (IdP)，则必须先使用联合身份登录 gcloud CLI。

启用 API

在项目中启用 App Design Center 服务：

gcloud services enable designcenter.googleapis.com \
    --project=PROJECT_ID

请将 PROJECT_ID 替换为您的 Google Cloud 项目 ID。

所需的角色

如需获得使用应用设计中心 MCP 服务器所需的权限，请让您的管理员为您授予您想要使用应用设计中心 MCP 服务器的项目的以下 IAM 角色：

进行 MCP 工具调用： MCP Tool User (roles/mcp.toolUser)
设置 App Design Center： Application Design Center Admin (roles/designcenter.admin)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

这些预定义角色包含使用 App Design Center MCP 服务器所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

如需使用 App Design Center MCP 服务器，需要以下权限：

进行 MCP 工具调用： mcp.tools.call

您也可以使用自定义角色或其他预定义角色来获取这些权限。

身份验证和授权

应用设计中心远程 MCP 服务器使用 OAuth 2.0 协议和 Identity and Access Management (IAM) 进行身份验证和授权。支持所有 Google Cloud 身份用于向 MCP 服务器进行身份验证。

App Design Center 不支持将 API 密钥作为身份验证方法。

我们建议您为使用 MCP 工具的代理创建单独的身份，以便控制和监控对资源的访问权限。如需详细了解身份验证，请参阅向 MCP 服务器进行身份验证。

App Design Center MCP OAuth 范围

OAuth 2.0 使用范围和凭证来确定经过身份验证的主账号是否有权对资源执行特定操作。如需详细了解 Google 的 OAuth 2.0 范围，请参阅使用 OAuth 2.0 访问 Google API。

App Design Center 具有以下 MCP 工具 OAuth 授权范围：

gcloud CLI 的范围 URI	说明
`https://www.googleapis.com/auth/cloud-platform`	查看和管理 App Design Center 资源。

配置 MCP 客户端以使用 App Design Center MCP 服务器

Claude 或 Antigravity 等 AI 应用和代理可以实例化连接到单个 MCP 服务器的 MCP 客户端。一个 AI 应用可以有多个连接到不同 MCP 服务器的客户端。如果您的应用未列在特定于客户端的指南中，则可以使用以下信息从大多数应用进行连接。

在 AI 应用中，寻找添加或连接到远程 MCP 服务器的方式。对于 App Design Center MCP 服务器，请根据需要输入以下信息：

配置属性	值
服务器名称	`application_design_center`
服务器网址或端点	`https://designcenter.googleapis.com/mcp`
传输	`HTTP`
身份验证详细信息	您可以根据所需的身份验证方式，输入 Google Cloud 凭证、OAuth 客户端 ID 和密钥，或代理身份和凭证。如需详细了解身份验证，请参阅向 MCP 服务器进行身份验证。
OAuth 范围	连接到 App Design Center MCP 服务器时要使用的 OAuth 2.0 范围。

如需查看有关设置和连接到 MCP 服务器的应用专用指南，请参阅特定于客户端的指南。

如需更一般的指导，请参阅以下资源：

列出可用的工具

使用 MCP 检查器列出工具，或直接向应用设计中心远程 MCP 服务器发送 tools/list HTTP 请求。tools/list 方法不需要进行身份验证。

POST /mcp HTTP/1.1
Host: designcenter.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

应用场景示例

将 App Design Center MCP 服务器与 Gemini Cloud Assist MCP 服务器搭配使用，可帮助您设计和部署 Google Cloud 基础架构。将这些 MCP 服务器搭配使用可实现以下目标：

根据目标生成基础架构设计：描述您需要的 Google Cloud服务以及您想要实现的目标。

用户提示：Help me set up a web application using Cloud Run, Cloud SQL, and Cloud Load Balancing in the eu-west-2 region.

代理操作：代理使用您所需的 Google Cloud 服务生成符合您目标的架构设计。
根据现有应用代码生成基础架构设计：提供应用源代码即可获得最佳设计。

用户提示：Design the cloud architecture for my Python application located in this repository: YOUR_APP_REPO_URL.

智能体操作：智能体分析您的应用代码，并生成有关最佳架构设计的提案。
以迭代方式优化基础架构设计：从基准架构开始，逐步进行更改。

用户提示：For the Cloud Storage bucket in my design, set a retention policy to delete objects after 90 days.

代理操作：代理可以调整架构设计，以更新组件配置、添加新资源和建立新连接。
根据安全和设计最佳实践分析基础架构：根据已建立的框架（例如 Security Command Center 中由管理员定义的安全框架）评估您提议的架构。

用户提示：Assess the infrastructure design against best practices.

代理操作：代理会根据最佳实践评估设计，以发现潜在问题。
修正发现的安全问题：修复安全分析中发现的问题。

用户提示：Fix the security violations you identified to align with my organization's specified frameworks.

客服人员操作：客服人员修复在安全评估期间发现的问题。
将生成的基础设施和应用部署到 Google Cloud：如果您对设计感到满意，请部署应用。

用户提示：Deploy the current application design.

代理操作：代理使用 App Design Center 将您的基础设施设计和应用代码部署到 Google Cloud 。
诊断并修复部署失败问题：如果部署失败，请获取问题排查支持。

用户提示：Troubleshoot the deployment failure.

智能体操作：智能体分析错误日志，确定根本原因，并提供建议来解决权限和配置错误等问题。

可选的安全配置

由于 MCP 工具可执行各种操作，因此 MCP 会引发新的安全风险和注意事项。为了最大限度地降低这些风险并进行管理，Google Cloud 提供了默认设置和可自定义的政策，用于控制 MCP 工具在 Google Cloud组织或项目中的使用。

如需详细了解 MCP 安全性和治理，请参阅 AI 安全性。

使用 Model Armor

Model Armor 是一项Google Cloud 服务，旨在增强 AI 应用的安全性。它通过主动筛选 LLM 提示和回答来防范各种风险，并支持 Responsible AI 实践。无论您是在云环境还是外部云服务提供商中部署 AI，Model Armor 都能帮助您防止恶意输入、验证内容安全性、保护敏感数据、保持合规性，并在各种 AI 环境中以一致的方式实施 AI 安全政策。

Model Armor 仅在特定区域位置提供。如果为项目启用了 Model Armor，并且对该项目的调用来自不受支持的区域，则 Model Armor 会进行跨区域调用。如需了解详情，请参阅 Model Armor 位置。

启用 Model Armor

您必须先启用 Model Armor API，然后才能使用 Model Armor。

控制台

启用 Model Armor API。
启用 API 所需的角色
如需启用 API，您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin)，该角色包含 serviceusage.services.enable 权限。了解如何授予角色。
启用 API
选择要启用 Model Armor 的项目。

gcloud

在开始之前，请使用 Google Cloud CLI 和 Model Armor API 按照以下步骤操作：

在 Google Cloud 控制台中，激活 Cloud Shell。

激活 Cloud Shell

Cloud Shell 会话随即会在 Google Cloud 控制台的底部启动，并显示命令行提示符。Cloud Shell 是一个已安装 Google Cloud CLI 且已为当前项目设置值的 Shell 环境。该会话可能需要几秒钟时间来完成初始化。
运行以下命令，为 Model Armor 服务设置 API 端点。
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
将 LOCATION 替换为您要使用 Model Armor 的区域。

为 Google 和 Google Cloud 远程 MCP 服务器配置保护

为了帮助保护您的 MCP 工具调用和响应，您可以使用 Model Armor 下限设置。下限设置用于定义适用于整个项目的最低安全过滤条件。此配置可对项目中的所有 MCP 工具调用和响应应用一组一致的过滤条件。

设置启用了 MCP 清理功能的 Model Armor 下限设置。如需了解详情，请参阅配置 Model Armor 底价设置。

请参阅以下示例命令：

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

请将 PROJECT_ID 替换为您的 Google Cloud 项目 ID。

请注意以下设置：

INSPECT_AND_BLOCK：用于检查 Google MCP 服务器的内容并屏蔽与过滤器匹配的提示和响应的强制执行类型。
ENABLED：用于启用过滤或强制执行的设置。
MEDIUM_AND_ABOVE：Responsible AI - Dangerous 过滤设置的置信度。您可以修改此设置，但较低的值可能会导致出现更多假正例。如需了解详情，请参阅 Model Armor 置信度级别。

禁止使用 Model Armor 扫描 MCP 流量

如需停止 Model Armor 根据项目的下限设置自动扫描进出 Google MCP 服务器的流量，请运行以下命令：

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

将 PROJECT_ID 替换为 Google Cloud 项目 ID。Model Armor 不会自动将此项目下限设置中定义的规则应用于任何 Google MCP 服务器流量。

Model Armor 下限设置和常规配置不仅会影响 MCP。由于 Model Armor 与 Vertex AI 等服务集成，因此您对下限设置所做的任何更改都可能会影响所有集成服务（而不仅仅是 MCP）中的流量扫描和安全行为。

使用 IAM 拒绝政策控制 MCP 使用情况

Identity and Access Management (IAM) 拒绝政策有助于保护 Google Cloud 远程 MCP 服务器。配置这些政策可阻止不必要的 MCP 工具访问。

例如，您可以根据以下条件拒绝或允许访问：

主账号
工具属性（例如只读）
应用的 OAuth 客户端 ID

如需了解详情，请参阅使用 Identity and Access Management 控制 MCP 的使用。

后续步骤

如需了解如何在 IDE 中使用 MCP 服务器，请参阅使用 Gemini CLI 设计和部署应用。
同时使用 App Design Center MCP 服务器和 Gemini Cloud Assist MCP 服务器。
详细了解 Google Cloud MCP 服务器。