MCPCAN 平台架构与访问模式总览
MCPCAN平台为了满足不同企业环境、网络架构及安全合规要求,提供了三种灵活的 MCP 服务访问模式:直连模式、代理模式和托管模式。
在当前技术生态中,模型协作协议(Model Collaboration Protocol, MCP)服务呈现出碎片化、协议不统一、安全风险高等挑战。MCPCAN 平台旨在解决这些核心痛点,提供一个集服务发现、安全代理、协议适配与全生命周期托管于一体的综合性解决方案。
核心设计理念是:
- 统一化(Unity):将所有 MCP 服务,无论其部署在何处、采用何种协议,都纳入统一的配置与管理视图。
- 安全性(Security):提供集中的认证、授权、访问控制(ACL)与全链路审计,将安全能力从应用层下沉至平台层。
- 灵活性(Flexibility):提供三种渐进式的接入模式,允许用户根据自身的基础设施、安全合规与运维能力,选择最合适的方案,实现从轻量级注册到深度托管的平滑过渡。
三种访问模式详解
| 特性维度 | 直连模式 (Direct) | 代理模式 (Proxy) | 托管模式 (Hosted) |
|---|---|---|---|
| 核心价值 | 服务发现与配置集中化 | 安全网关与流量审计 | 无服务器运行与协议适配 |
| 服务部署位置 | 客户自有环境(公网/内网) | 客户自有环境(通常为内网) | 平台内置容器环境 |
| 流量路径 | 客户端 ↔ 外部服务 | 客户端 → 平台 → 外部服务 | 客户端 → 平台(容器内部) |
| 安全态势 | 服务端点暴露,依赖自身防护 | 服务端点隐藏,平台提供 ACL | 完全隔离,由平台管理网络 |
| 协议支持 | 原生协议 (SSE/Streamable-HTTP) | 原生协议 (SSE/Streamable-HTTP) | 1. 支持 Stdio 协议转换 (Stdio → SSE/Streamable-HTTP) 2. 原生协议部署 (SSE/Streamable-HTTP) 3. OpenAPI 文档转 Streamable-HTTP |
| 可观测性 | 无 | 访问日志、调用追溯 | 实时日志、资源监控、启停控制 |
| 运维责任 | 用户完全负责 | 用户负责服务,平台负责网关 | 平台负责底层运维,用户负责代码 |
| 最佳应用场景 | 团队内部的服务注册与发现 | 需要安全暴露内网服务给外部 | 希望无感部署、快速上线 Stdio 工具 |
1. 直连模式 (Direct Connection) - 服务注册与发现
- 定位: 一个轻量级的“服务目录”或“配置中心”。
- 工作方式: 平台仅存储和分发 MCP 服务的连接信息(元数据),不参与任何实际的业务通信。客户端从平台获取配置后,直接与目标服务建立连接。
- 优势: 零网络开销,无性能损耗,适用于已有完善网络和安全设施的环境。
2. 代理模式 (Proxy Mode) - 安全访问网关
- 定位: 一个功能强大的“安全反向代理”和“审计日志中心”。
- 工作方式: 客户端的所有请求都发送到平台,平台在验证权限后,再将请求转发给后端真实的 MCP 服务。此过程对客户端透明。
- 优势:
- 风险隔离: 完美隐藏后端服务的真实 IP、端口和原始凭证。
- 集中授权: 所有服务的访问控制策略在平台统一配置。
- 合规审计: 平台记录每一笔调用的详细日志,满足安全追溯要求。
3. 托管模式 (Hosted Mode) - 一站式无服务器环境
- 定位: 一个“无服务器(Serverless)”运行环境与“协议转换器”。
- 工作方式: 用户直接上传代码或镜像,平台负责分配容器资源、部署服务并暴露一个标准的访问端点。平台内置的适配器能将传统的命令行(Stdio)交互式服务,自动转换为网络可访问的 SSE 或 Streamable-HTTP 协议。
- 优势:
- 简化运维: 用户无需关心服务器、网络和扩缩容,只需关注业务逻辑。
- 协议兼容: 让大量存量的、基于 Stdio 的优秀工具能够无缝接入现代 Web 应用。
- 全生命周期管理: 提供从部署、启停到日志监控的全套运维工具。
如何选择合适的模式?
- 如果您只是想统一管理团队的 MCP 服务列表,并且服务已经有可靠的外部访问方式 → 选择直连模式。
- 如果您需要将内网或受保护的服务安全地暴露给第三方,并需要统一的鉴权和审计 → 选择代理模式。
- 如果您想快速部署一个服务而不想管理服务器,或者您有一个基于命令行的工具需要被 Web 应用调用 → 选择托管模式。