Authenticated Cloud Run

Разверните защищённый MCP-сервер на Google Cloud Run с аутентификацией IAM. Упрощённое развертывание, локальный прокси и интеграция с Cursor. Делитесь вашим MCP-сервером с командой прямо сейчас!

Деплой и DevOps Облачная инфраструктура Инструменты разработчика ★ 22 GitHub (22 ★)

Этот инструмент решает насущную задачу безопасного доступа к MCP SSE-серверам, особенно когда официальные методы аутентификации еще находятся в разработке. Он использует Google Cloud Run и IAM, чтобы предоставить простой и безопасный способ подключения клиентов, таких как Cursor, к пользовательскому MCP-серверу через интернет. Развернув MCP-сервер на Cloud Run с аутентификацией IAM, пользователи могут установить прокси-соединение через Google Cloud SDK, гарантируя, что только аутентифицированные пользователи смогут получить доступ к серверу.

Ключевые особенности

01Развертывание Cloud Run для масштабируемости и управления

02Упрощенное развертывание с помощью shell-скрипта

03Аутентификация IAM для доступа к MCP-серверу

04Локальный прокси для подключения к сервису Cloud Run

05Пошаговые инструкции для интеграции с Cursor

Варианты использования

01Безопасно делиться MCP-серверами с членами команды

02Обойти необходимость базовой аутентификации или API-ключей

03Включить функциональность MCP SSE в приложениях типа Cursor

Host MCP SSE Server on Google Cloud Run

At the momenet (03/04/2024) MCP is still addressing Authentication and Authorization. They plan to complete this in H1 2025. The issue is, I want to share my MCP server with my team NOW. So here we are. The only immediate answer to use a SSE MCP server in Cursor, etc.. right now is a network layer based solution (e.g., a proxy). Basic auth, api keys, forget about it.

Utilizing GCP Cloud Run and User Based IAM Authentication, I have created a simple, secure way to allow clients to access a custom MCP server over the internet.

MCP Roadmap

How it works

The MCP server is hosted on Google Cloud Run. Utilizing Cloud Run IAM Authentication, we can securely connect to the server from the internet by utilizing the Google Cloud SDK to create a proxy connection.

TLDR README

This should work out of the box with minimal config if you already have docker and the gcloud CLI set up locally.

Step 1: Update deploy.sh with your project id, service account email, etc.

Step 2: On deploy success, grab the cloud run URL that was provided, and add it to mcp_proxy.ts along with your project id.

Step 3: Run the proxy npx ts-node mcp_proxy.ts

Step 3: Access your MCP server using http://localhost:3030 - Add it to Cursor under Settings > Features > MCP Servers (make sure you select SSE not command)

LONG BORING README

Deployment Steps

Clone the repository
Run npm install to install the dependencies
Run npm run dev to start the server locally

Deployment to Google Cloud Run

To deploy your MCP server to Google Cloud Run:

Make sure you have the Google Cloud SDK installed
Update the deploy.sh script with your project details:
- PROJECT_ID: Your Google Cloud project ID
- REGION: Your preferred GCP region
- SERVICE_ACCOUNT_EMAIL: The service account email with appropriate permissions
Run the deployment script:
```
chmod +x deploy.sh
./deploy.sh
```

The deployment script will:

Build a Docker container for your MCP server
Push it to Google Container Registry
Deploy it to Cloud Run with authentication enabled

Connecting to your deployed MCP server

To connect to your deployed MCP server:

Run the MCP proxy locally:
```
npx ts-node mcp_proxy.ts
```
The proxy will:
- Check if you're authenticated with Google Cloud
- Obtain authentication tokens automatically
- Create a local proxy server (default: http://localhost:3030)
- Forward authenticated requests to your Cloud Run service
Configure your MCP client to connect to the local proxy URL

Use the MCP server in Cursor

First, let's run our proxy to establish a connection between our local machine and the MCP server hosted on Google Cloud Run.

npx ts-node mcp_proxy.ts

Now let's add our local proxy server to cursor within the Setting > Features tab in the MCP server section.

Now, we're good to go! Start a new composer (ensure you are in agent mode) and ask what the weather is in a location. Your ouput in your terminal where the proxy is connected + the output of your composer should look like this:

Security

This setup provides several security benefits:

Your MCP server is not publicly accessible without authentication
All connections are secured with Google Cloud IAM
Team members need Google Cloud SDK access to connect

Connection Issues

Verify the Cloud Run URL in mcp_proxy.ts matches your deployed service
Check Cloud Run logs for any server-side errors

Contributing

Contributions are welcome! Feel free to submit issues or pull requests.

License

MIT

Authenticated Cloud Run — Защищённый MCP-сервер через Google Cloud Run

Это решение позволяет хостить MCP-сервер с SSE-транспортом на Google Cloud Run и безопасно подключаться к нему из интернета, используя встроенную IAM-аутентификацию GCP. Пока официальный MCP не доработал механизмы авторизации (планируется на H1 2025), это — практичный вариант для работы в команде уже сейчас.

В основе лежит прокси на Node.js, который использует Google Cloud SDK для получения токенов доступа и создаёт локальный туннель. Клиент (Cursor, другой MCP-клиент) подключается к localhost:3030, а прокси перенаправляет запросы в защищённый Cloud Run.

Как это работает

MCP-сервер развёрнут на Cloud Run с включённой IAM-аутентификацией.
На локальной машине запускается прокси-скрипт (mcp_proxy.ts), который:
- проверяет аутентификацию через gcloud;
- автоматически получает токен;
- поднимает локальный сервер (по умолчанию на порту 3030);
- проксирует все запросы в Cloud Run, добавляя заголовок Authorization.
MCP-клиент подключается к http://localhost:3030 — и работает так, как будто сервер запущен локально.

Быстрый старт (TL;DR)

Если у вас уже установлены Docker и gcloud CLI, развернуть сервер можно за несколько минут.

Клонируйте репозиторий и установите зависимости:
```
npm install
```
Обновите deploy.sh: укажите свой PROJECT_ID, REGION и SERVICE_ACCOUNT_EMAIL.
Запустите деплой:
```
chmod +x deploy.sh
./deploy.sh
```
Скрипт соберёт Docker-образ, загрузит его в Container Registry и развернёт сервис на Cloud Run с включённой аутентификацией.
Скопируйте URL Cloud Run, который появится после деплоя.
Настройте прокси: откройте mcp_proxy.ts и укажите там:
- cloudRunUrl — URL вашего сервиса;
- projectId — ID проекта GCP.
Запустите прокси:
```
npx ts-node mcp_proxy.ts
```
Подключите клиент. Например, в Cursor: Settings > Features > MCP Servers → Add → выберите SSE и укажите http://localhost:3030. Убедитесь, что вы используете Agent mode в Composer.

Установка и настройка

Локальный запуск (без Cloud Run)

Если нужно сначала отладить сервер локально:

npm run dev

Сервер будет доступен по умолчанию на http://localhost:3000. Для теста можно настроить прокси на этот адрес.

Деплой на Cloud Run

Установите Google Cloud SDK и выполните gcloud auth login.
Убедитесь, что у вас есть проект GCP и включены биллинг и Cloud Run API.

Отредактируйте deploy.sh:

PROJECT_ID="ваш-проект"
REGION="us-central1"         # выберите ближайший регион
SERVICE_ACCOUNT_EMAIL="your-sa@project.iam.gserviceaccount.com"

Важно: сервисная учётная запись должна иметь роль roles/run.invoker для Cloud Run.

Запустите скрипт:
```
chmod +x deploy.sh
./deploy.sh
```

После успешного деплоя вы увидите URL сервиса, например https://my-mcp-server-xxxxx-uc.a.run.app.

Подключение к серверу

Прокси-скрипт

В файле mcp_proxy.ts укажите:

const cloudRunUrl = "https://ваш-сервис-xxxxx-uc.a.run.app";
const projectId = "ваш-проект";

Запустите:

npx ts-node mcp_proxy.ts

Прокси проверит, авторизованы ли вы в Google Cloud, получит токен и начнёт слушать порт 3030.

Использование в Cursor

Откройте Settings → Features → MCP Servers.
Нажмите Add new MCP server.
В поле Type выберите SSE.
В поле URL укажите http://localhost:3030.
Сохраните.

Теперь можно создавать композиции в Agent mode — запросы будут отправляться на Cloud Run через прокси.

Отладка

Убедитесь, что URL в mcp_proxy.ts соответствует развёрнутому сервису.
Проверьте логи Cloud Run в консоли GCP — там видны все ошибки сервера.
Если прокси не запускается, проверьте, что gcloud auth application-default login выполнен.

Безопасность

Сервер Cloud Run недоступен из интернета напрямую — все запросы требуют IAM-токена.
Подключаться могут только пользователи, у которых есть доступ к Google Cloud SDK и права на сервис.
Прокси не хранит токены на диске — они запрашиваются каждый раз при запуске.
Вся передача данных идёт по HTTPS (стандарт Cloud Run).

Возможные проблемы

Симптом	Решение
`403 Forbidden`	Проверьте, что сервис-аккаунт в `deploy.sh` имеет роль `roles/run.invoker`, а у пользователя — роль `roles/iam.serviceAccountTokenCreator`
Прокси не видит `gcloud`	Установите Google Cloud SDK и выполните `gcloud auth application-default login`
Cloud Run не отвечает	Проверьте, что сервис развёрнут и не имеет ошибок в логах

Вклад в развитие

Приветствуются issues и pull requests. Лицензия — MIT.

Источник: https://mcpmarket.com/server/authenticated-cloud-run