创建网关
网关作为智能体与外部系统之间的通信中介,不仅负责双向通信和协议转换,还提供了日志记录的功能,确保系统的安全、高效和可扩展性。
创建网关有两种方式:通过控制台创建和通过SDK创建。如果您选择使用SDK创建网关,可以参考MCP Gateway SDK,本章节主要介绍通过控制台创建网关。
前提条件
- 在创建或删除网关时,请确保用户除了具备网关的FullAccessPolicy权限外,还需拥有以下特定的身份策略权限:
表1 授权项 操作
授权项
功能介绍
创建网关
iam:agencies:pass
授予向云服务传递委托的权限。
vpc:nativePorts:create
授予原生API创建端口权限。
vpc:routeTables:update
授予更新路由表权限。
eip:publicIps:associateInstance(涉及公网访问时需要)
授予将弹性公网IP绑定网卡的权限。
删除网关
vpc:routeTables:update
授予更新路由表权限。
vpc:nativePorts:delete
授予原生API删除端口权限。
eip:publicIps:disassociateInstance(涉及公网访问时需要)
授予将弹性公网IP解绑网卡的权限。
- 创建网关时需要创建委托并授权,请确保传入的委托包含以下身份策略权限:
表2 授权项 授权项
功能介绍
csms:secret:getVersion
授予查询指定凭据版本的信息和其明文凭据值的权限。
kms:cmk:decryptDataKey
授予解密数据密钥的权限。
agentIdentity::getResourceApiKey
授予获取与API密钥凭证提供者关联的API密钥的权限。
agentIdentity::getResourceOauth2Token
授予通过OAuth2两方/三方授权流程获取访问令牌,以访问外部资源的权限。
agentIdentity::getResourceStsToken
授予从STS凭证提供者获取IAM临时凭证的权限。
- 创建网关需要进行入站认证,入站认证功能需要用户确保有网关的FullAccessPolicy外,还包含如下身份策略权限:
授权项
功能介绍
csms:secret:getVersion
授予查询指定凭据版本的信息和其明文凭据值的权限。
kms:cmk:decryptDataKey
授予解密数据密钥的权限。
- 如出站网络使用VPC网络访问,请确保已开通虚拟私有云,并已创建私有网络、子网、安全组。详细操作请参见创建虚拟私有云和子网,创建安全组。并确保用户拥有网关的FullAccessPolicy外,还需拥有如下身份策略权限:
表3 授权项 授权项
功能介绍
vpcep:endpoints:create
授予指定服务创建VPC终端节点的权限。
vpcep:endpoints:delete
授予删除终端节点的权限。
- 管理员可在IAM控制台为创建的IAM用户授予权限,授权后,用户即可根据权限使用账号中的云服务资源,为IAM用户授权的操作指导可参考给IAM用户授权。
约束与限制
一个租户最多可创建10个网关,如需调整配额,请提交工单申请。
创建网关
- 在左侧导航栏选择“开发中心 > 组件库 ”,单击“网关”页签,进入网关界面。
- 单击右上角“创建网关”。
- 在“创建网关”的页面中,输入网关的配置信息,参数说明请参考表4。
表4 参数说明 参数
说明
基本信息
名称
网关的名称,同一账号下网关名称不可重复。
命名规则:
- 以小写字母开头,小写字母或数字结尾。
- 支持小写字母、数字和中划线。
- 长度为 2-40 个字符。
系统会默认生成网关的名称,可根据需求自定义修改。
描述
用于对网关内容和用途的简要说明。
规则:长度不大于1000个字符。
权限与身份认证
委托
授予的代理权限或代理功能,允许代表智能体与外部系统进行通信和交互。
选择IAM中已创建的委托,如未创建,请单击“创建委托”,具体请参考创建委托。
入站身份认证
配置网关的身份认证方式。入站身份认证是指网关在接收和处理来自智能体或SDK的请求时,对请求进行身份验证,确保只有经过验证的请求才能进入网关,提高系统的安全性和可靠性。
支持以下认证方式:
- IAM认证:使用登录管理控制台时使用的IAM用户名进行认证。
- OAuth 2.0认证:将OAuth 2.0配置为入站身份认证。选择“OAuth 2.0认证”后,相关参数配置请参考表5。
- API Key认证:通过接口的访问密钥进行身份验证和授权。系统会自动生成API Key的名称,可根据需求自定义修改。
可观测配置
日志记录
- 未开启,网关使用过程产生的日志无法上报至云日志服务。
- 开启后,网关使用过程产生的日志会上报云日志服务(LTS),日志管理费用按需收取,有关计费相关内容请参考LTS计费详情。
关联Target
创建Target
单击“创建Target”按钮完成Target创建后,网关将与新创建的Target关联。
创建Target详情请参考在网关中创建Target。
高级配置
私网访问
连接内部的私有网络,访问内部的资源和服务。
- 选择已配置的VPC,如未配置,请单击“新建VPC”,具体请参考创建虚拟私有云和子网。
- 选择已配置的子网,如未配置,请单击“新建子网”,具体请参考创建虚拟私有云和子网。
- 选择已配置的安全组,如未配置,请单击“新建安全组”,具体请参考创建安全组。
配置后可单击
刷新。公网访问
能够连接到外部的互联网,访问外部的资源和服务。
表5 OAuth 2.0认证参数配置说明 参数
说明
Discovery URL
OAuth发现服务器(OAuth discovery server)只支持公网权威的认证服务器,即服务端证书必须能够校验通过。
需输入身份提供商(例如Okta、Cognito等)提供的Discovery URL,该URL通常可在该提供商的文档中找到。输入以https:// 开头,/.well-known/openid-configuration结尾的有效 URL。
JWT授权配置
允许的受众
用于认证为OAuth 2.0指定的受众是否在Agent Identity运行中指定的受众匹配或为其子集。
支持添加100个受众。
允许的客户端
用于认证为OAuth 2.0指定的客户端标识符是否被允许访问Agent Identity。
支持添加100个客户端。
允许的范围
仅当令牌包含此处配置的至少一个必须范围时才允许访问自定义声明。
支持添加100个范围。
自定义声明
仅当令牌中的特定声明与预定义字符串值相匹配时才允许访问。
支持添加100个自定义声明。
- 单击“确定”。即可在网关列表中展示已创建的网关,单击网关名称,查看网关详情。
后续操作
创建网关后,您需要将已经创建的网关集成到智能体的代码中或添加到已有的MCP智能体客户端,以便后续调用网关能力。详细操作请参见在智能体中使用网关。
更多操作
您还可以对已创建的网关执行如下操作。
| 操作 | 说明 |
|---|---|
| 查看网关URL |
|
| 复制网关 | 支持用户基于已配置的网关快速创建新的网关。
|
| 修改网关基本信息 |
|
| 删除网关 | 网关删除后不可恢复,请谨慎操作。且删除网关时,必须先删除所有关联的Target,才能成功删除网关。
|
