MCP-Proxy:开发多LLM & 多MCP 支持并安全访问MCP Server的秘密

于 2025-06-28 14:53:56 发布
阅读量724 收藏 12
点赞数 19
CC 4.0 BY-SA版权
分类专栏: 技术杂谈 文章标签: 安全 MCP MCP-Proxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IT_ORACLE/article/details/148952964

在构建多模型、多协议、可控可信的大模型接入平台时,MCP-Proxy 扮演着关键中枢。它不仅要支持多个 LLM 接入,还要保障对后端 MCP Server 的安全访问、请求审计、能力切换与资源隔离

什么是 MCP / MCP-Proxy?

  • MCP(Model Capability Protocol) 是新一代模型能力调用协议,类似于 OpenAI 的 API,但可支持:

    • 多厂商大模型(OpenAI、DeepSeek、Yi、ChatGLM…)

    • 多模态统一接口(文本、图像、音频)

    • 权限、安全、审计、扩展能力

  • MCP-Proxy 是 MCP 接入链路中的“网关代理”,作用相当于:

    • 统一多模型 API 接入点

    • 请求路由、权限校验、限流与 token 管理

    • 安全访问 MCP Server,隐藏后端实现

架构概览

Client
  ↓
[🛡️ MCP-Proxy]
  ├── 🔀 LLM 路由控制(基于模型名 / tag / tenant)
  ├── 🔒 Token 校验 & 鉴权
  ├── 📊 审计日志 / QPS 监控
  ↓
[MCP Server群(多厂商LLM能力池)]
  ├── OpenAI
  ├── DeepSeek
  ├── Yi / Baichuan

MCP-Proxy 的关键能力

1. 多模型 & 多 MCP Server 路由支持

支持配置如下模式:

routes:
  /v1/chat/completions:
    model: gpt-4
    backend: mcp-openai

  /v1/chat/completions:
    model: deepseek-coder
    backend: mcp-deepseek

  /v1/image/generate:
    model: qwen-vl
    backend: mcp-alibaba

路由规则支持:

  • 模型名称 (model)

  • 租户(Tenant)维度隔离

  • 请求来源(如 IP / API Key)

2. Token 安全与权限控制

可内置以下机制:

  • API Key 校验(基于 Redis / JWT)

  • 权限列表控制(是否允许调用某个模型)

  • 单模型 Token 访问量限制

  • 访问频次限流(按租户 / 用户维度)

3. 多租户 & 资源隔离

MCP-Proxy 可作为统一的多租户大模型接入层:

  • 每个租户有独立的模型访问配置

  • Token / Token Bucket 隔离

  • 支持租户自定义 Prompt 模板 / 审计日志隔离

4. 统一请求格式 & 异构模型兼容

通过 Proxy,开发者始终使用统一的 OpenAI 风格请求格式:

POST /v1/chat/completions
{
  "model": "gpt-4",
  "messages": [{ "role": "user", "content": "你好" }]
}

后端 MCP-Proxy 会根据模型适配不同协议(OpenAI、Qwen、DeepSeek…)。

5. 安全通信与服务可靠性

  • 支持 TLS / HTTPS / 证书双向验证

  • 后端调用 MCP Server 时支持多重重试与健康检查

  • 可插入安全网关(WAF)或接入堡垒机

MCP-Proxy 路由配置模板(YAML)

以下是一个完整的 MCP-Proxy 路由配置模板(YAML 格式),支持多 LLM、按租户隔离、基于模型名称路由、权限控制、token 限流等,适用于私有部署多租户 SaaS 平台场景。

# ========================
# MCP-Proxy 路由配置文件
# ========================

# 通用设置
server:
  host: 0.0.0.0
  port: 8080
  tls:
    enabled: true
    cert_file: /etc/mcp-proxy/cert.pem
    key_file: /etc/mcp-proxy/key.pem

# 日志设置
logging:
  level: INFO
  access_log: true
  audit_log: true
  log_path: /var/log/mcp-proxy.log

# 鉴权机制
auth:
  strategy: api_key  # 支持: api_key, jwt, none
  api_keys:
    - key: abc123
      tenant: tenant_a
      allow_models: [gpt-4, deepseek-chat]
      quota: 1000000    # 每日 token 限额
    - key: def456
      tenant: tenant_b
      allow_models: [yi-34b, qwen-vl]
      quota: 500000

# 路由规则(按模型名称)
routes:
  gpt-4:
    backend: openai
    endpoint: https://api.openai.com/v1/chat/completions
    auth_header: Authorization
    auth_prefix: Bearer
    timeout: 60
    retries: 2

  deepseek-chat:
    backend: deepseek
    endpoint: https://api.deepseek.com/chat/completions
    auth_header: X-API-Key
    auth_value: ${DEEPSEEK_API_KEY}

  yi-34b:
    backend: internal
    endpoint: http://internal-mcp.yourcorp.local/v1/chat/completions
    token_injection:
      location: body
      key: access_token
      value: ${YI_INTERNAL_TOKEN}

  qwen-vl:
    backend: aliyun
    endpoint: https://dashscope.aliyuncs.com/api/v1/multimodal/completion
    content_type: application/json
    model_alias: qwen-vl-plus
    auth_header: Authorization
    auth_value: Bearer ${QWEN_TOKEN}

# 租户隔离设置
tenants:
  tenant_a:
    prefix_prompt: |
      你是一位礼貌的 AI 助手,请用中文简洁回复用户提问。
    model_access:
      - gpt-4
      - deepseek-chat
    rate_limit:
      rpm: 60     # 每分钟请求数
      tpm: 10000  # 每分钟 token 数

  tenant_b:
    prefix_prompt: |
      请用专业语气解答金融投资相关的问题。
    model_access:
      - yi-34b
      - qwen-vl
    rate_limit:
      rpm: 30
      tpm: 5000

# 审计日志设置(可选)
audit:
  enabled: true
  redact_input: true       # 是否脱敏用户输入
  redact_output: false
  sink: file               # 支持 file/kafka/es
  file_path: /var/log/mcp-audit.json

支持特性说明

特性说明
auth.strategyAPI Key 或 JWT 认证方式
routes每个模型对应后端 MCP Server
model_alias可重命名下游模型(如避免直接暴露真实 ID)
tenant.prefix_prompt可为每个租户自动注入系统 Prompt
rate_limit可单独控制 RPM(请求数)与 TPM(token 数)
audit开启后可记录所有请求内容,用于追溯与分析

补充建议

  • 支持 .env 或 Vault 方式注入 ${} 环境变量;

  • 可配合 Redis 做 token 计数器(QPS & Token 限流);

  • 若为多实例部署,建议加上 API 请求签名机制防重放;

  • 建议结合 OpenAPI schema 自动生成 SDK 接口文档。

MCP-Proxy 的部署与实现建议

模块技术建议
网络代理框架FastAPI / go-chi / Nginx + Lua
身份认证 & TokenRedis + JWT / OAuth2
日志 & 监控Prometheus + Loki / ELK
配置中心Etcd / Consul / Spring Cloud
审计日志Kafka / ClickHouse / S3
后端连接池Async HTTP Client(支持重试)

MCP-Proxy 私有部署文件结构建议

下面是一个完整的 MCP-Proxy 私有部署 Dockerfile + 运行脚本 示例,支持挂载配置文件、安全密钥、日志目录等,适合在本地开发或企业服务器中快速部署。

mcp-proxy/
├── Dockerfile
├── docker-compose.yml
├── entrypoint.sh
├── config/
│   └── mcp-proxy.yaml           # 路由配置文件
├── certs/
│   ├── cert.pem                 # TLS 证书
│   └── key.pem
├── logs/
└── .env                         # 环境变量(API Key、Token)
Dockerfile
FROM python:3.10-slim

LABEL maintainer="your-team@example.com"
WORKDIR /app

# 安装系统依赖
RUN apt-get update && apt-get install -y curl gcc libffi-dev libssl-dev && rm -rf /var/lib/apt/lists/*

# 拷贝代码与配置
COPY . /app

# 安装 Python 依赖
RUN pip install --no-cache-dir -r requirements.txt

# 设置环境变量(由 .env 配置)
ENV PYTHONUNBUFFERED=1

# 启动脚本
ENTRYPOINT ["./entrypoint.sh"]
requirements.txt(建议示例)
fastapi
uvicorn[standard]
pyyaml
httpx
python-dotenv
entrypoint.sh(启动 MCP-Proxy)
#!/bin/bash
set -e

echo "Starting MCP-Proxy..."

# 加载环境变量
if [ -f .env ]; then
  export $(grep -v '^#' .env | xargs)
fi

# 启动服务
uvicorn app.main:app \
  --host 0.0.0.0 \
  --port 8080 \
  --proxy-headers \
  --ssl-keyfile ./certs/key.pem \
  --ssl-certfile ./certs/cert.pem

确保 app.main:app 是你项目中 FastAPI 的入口点(通常是 main.py 中定义的 app)。

docker-compose.yml(推荐部署方式)
version: "3.8"

services:
  mcp-proxy:
    build: .
    container_name: mcp-proxy
    restart: always
    ports:
      - "443:8080"
    volumes:
      - ./config:/app/config
      - ./certs:/app/certs
      - ./logs:/app/logs
      - ./.env:/app/.env
    environment:
      - MCP_CONFIG_FILE=/app/config/mcp-proxy.yaml
启动 & 验证
# 构建镜像
docker-compose build

# 启动服务
docker-compose up -d

# 测试是否成功
curl -k -X POST https://localhost/v1/chat/completions \
  -H "Authorization: Bearer abc123" \
  -H "Content-Type: application/json" \
  -d '{
    "model": "gpt-4",
    "messages": [{"role": "user", "content": "你好"}]
  }'
安全与部署建议
项目建议
TLS使用真实域名 + Let's Encrypt 证书
环境变量管理使用 .env 或 Vault 加密存储
日志持久化logs 挂载至主机 / 日志系统(如 ELK)
多实例部署支持负载均衡(Nginx / Traefik)
健康检查可暴露 /health 接口供监控系统调用

场景应用示例

场景1:接入 DeepSeek + OpenAI + Yi

models:
  gpt-4:
    backend: mcp-openai
    auth: api_key_only
    quota: 1,000,000 tokens/day

  deepseek-chat:
    backend: mcp-deepseek
    region: cn-shenzhen

  yi-34b:
    backend: mcp-internal
    access: tenant_abc_only

场景2:安全接入内网私有化模型

  • MCP-Proxy 设置为 DMZ 内边界层

  • 后端 MCP Server 仅允许内网访问

  • 使用签名令牌访问内部 API,避免泄露 Token

拓展能力:Prompt 注入与审计闭环

MCP-Proxy 可支持:

  • 根据租户 ID 自动注入前缀 Prompt

  • 对所有对话内容进行落库审计(可打脱敏)

  • 每个模型调用情况形成成本统计报表

MCP-Proxy 的隐藏秘密(亮点)

功能点技术亮点
模型统一接入隐藏后端异构模型差异,统一接口调用体验
多租户隔离租户维度限流 / Prompt 注入 / 日志隔离
动态路由请求动态分发至最优模型,提高性价比和容灾能力
审计与报表全链路日志记录、可计费的 Token 用量分析支持
插件式模型扩展新模型接入无需修改主流程,仅配置路由与凭证
安全访问内部 MCP Server支持双向认证、IP 白名单、WAF 插入、防越权

总结

MCP-Proxy 是连接开发者与模型世界的“安全高速公路”。在企业 LLM 基础设施建设中,它是:

多模型接入控制中心
安全边界守护者
日志审计与计费基础
支持灵活路由和模型策略调度的智能代理

Python的MCP Server开发实战
Criss@陈磊
03-03 4391
这是一个入门级的教程主要讲解一下MCP Server开发,主要是用官网的例子以及MCP Python SDK。
第15章:MCP服务端项目开发实战:性能优化
maxcode
04-24 264
性能优化和扩展是构建生产级 MCP 系统的关键环节。通过识别系统瓶颈,应用缓存策略、优化发处理、采用分布式架构和水平扩展方案,可以显著提升 MCP Agent 的响应速度、吞吐量和可用性。在实践中,需要根据具体的应用场景、负载情况和成本预算,选择合适的优化技术和架构方案,持续进行性能监控和调优。
实战Solon开发MCP Server集成在LLM
wnhyang的博客
05-06 760
关于MCP资料太了。
MCP Bridge: A Lightweight, LLM-Agnostic RESTful Proxy for Model Context Protocol Servers
AI天才研究院
06-12 580
Arash Ahmadi , Sarah Sharif , Yaser M. Banad 1 1 1*1* School of Electrical, and Computer Engineering, University of Oklahoma, Norman, Oklahoma, United States.*Corresponding author(s). E-mail(s): bana@ou.edu; Contributing authors: arash.ahmadi-1@ou.edu; s.s
MCP Server 实践之旅第 1 站:MCP 协议解析与云上适配
阿里巴巴云原生的博客
04-28 2406
本系列将从技术原理到实战场景,深入解析函数计算如何攻克上述难题——本文作为开篇,将揭示 MCP 协议深度解析和云上最佳适配。
Java开发如何基于 Spring AI Alibaba 玩转 MCP:从发布、调用到 Claude & Manus 集成
Apache Dubbo 官方博客
04-03 2612
本文包含Spring AI MCP的示例与原理讲解,包括如何将自己开发的 Spring 应用发布为标准 MCP Server,如何调用别人发布的 MP Server 等。
FastMCP - 快速、Pythonic风格的构建MCP server 和 client
AI工程化、开源分享、文档翻译、代码笔记
05-05 4347
一、关于 FastMCP 相关链接资源 快速构建示例 什么是MCP? 为什么选择FastMCP? 核心特性 服务器 客户端 v2 版本更新内容 二、安装 添加 验证安装 安装用于开发 三、核心概念 1、`FastMCP` 服务器 2、工具 3、资源 4、提示 5、上下文 6、图片 7、MCP 客户端 7.1 客户端方法 7.2 运输选项 7.3 LLM Sampling 7.4 根访问 四、高级功能 1、代理服务器 2、组成 MCP 服务器 3、OpenAPI & FastAPI 生成 4、处理 `std
MCP Server On FC之旅2: 从0到1-MCP Server市场构建与存量OpenAPI转MCP Server
阿里巴巴云原生的博客
05-23 819
本文通过协议转译 Adapter + 函数计算的解决方案,为 MCP Server 服务化提供了一套企业级、低成本的解决方案,同时为存量 API 的智能化转型开辟了高效率的实践路径。
颠覆MCP!Open WebUI新技术mcpo横空出世!支持ollama!轻松支持各种MCP Server
AAI666666的博客
05-05 889
Open WebUI 的 MCPo 项目(Model Context Protocol-to-OpenAPI Proxy Server)正是为了解决这一问题而设计的。本文将带您深入了解 MCPo 的功能、优势及其对开发者生态的影响。
Kubernetes运维新高度:MCP-K8s实践,构建大模型驱动的管理能力!
m0_65555479的博客
04-19 1365
一个支持stdio/sse的MCP服务器,连接到Kubernetes集群提供以下功能:查询Kubernetes资源类型(包括内置资源和CRD对Kubernetes资源进行CRUD操作(可配置写操作)
【Ai】MCP实战:手写 client 和 server [Python版本]
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
04-16 1850
MCP 是一个开放协议,它为应用程序向 LLM 提供上下文的方式进行了标准化。你可以将 MCP 想象成 AI 应用程序的 USB-C 接口。就像 USB-C 为设备连接各种外设和配件提供了标准化的方式一样,MCP 为 AI 模型连接各种数据源和工具提供了标准化的接口。
使用FastAPI-MCP,让 FastAPI 应用秒变 MCP 服务器
互联网架构师笔记
03-30 1508
FastAPI-MCP 是一款零配置工具,可让 FastAPI 应用自动暴露所有端点,兼容 Model Context Protocol (MCP)。
MCP的性能优化:提升应用效率的策略
加入“Super Entity”,与全能开发团队共探AI智能体与数字人项目,开启前沿技术之旅。
03-30 1096
开发基于MCP(Model Context Protocol)的应用程序时,性能优化是确保应用高效运行的关键环节。无论是工具的调用、数据传输还是LLM的响应,都需要在性能和资源利用之间找到平衡。本文将详细介绍MCP应用开发中的性能优化策略,通过代码示例展示如何实现这些优化。通过本文的介绍,你已经了解了MCP应用开发中的性能优化策略,包括异步处理、缓存机制、资源管理、负载均衡和代码优化等核心方法,通过代码示例展示了如何实现这些优化。
基于MCPAgent协作系统实现:基于Express和TypeScript的Agent MCP系统的实现方案
AI天才研究院
05-23 114
本文介绍了一个基于MCP(Model Context Protocol)的Agent协作系统的实现。该系统使用Express和TypeScript构建,旨在通过MCP协议实现Agent之间的通信与协作。项目结构清晰,包含服务器端和客户端的实现,主要分为Agent、通用类型、配置、服务器和客户端等模块。系统通过定义不同的Agent角色(如协调者、专家、检索者、验证者和用户代理)来实现任务分解、分配和监控等功能。文章详细介绍了项目的依赖安装、TypeScript配置、通用类型定义以及MCP服务器的实现步骤,为
安全运营中的漏洞管理和相关KPI
rm -rf /*
06-27 390
文章摘要:漏洞管理是企业网络安全的关键痛点。本文提出9个核心运维指标:1)漏洞扫描覆盖率(反映资产受检比例);2)漏洞变化率(修复与新发漏洞差值);3)平均漏洞暴露窗口期(发现到修复时长);4)逾期未修复漏洞数量;5)漏洞例外数量(豁免漏洞统计);6)漏洞重开率(识别虚假修复);7)补丁部署速率;8)补丁更新时长;9)平均修复时间。这些指标能系统评估漏洞管理效果,帮助优化修复流程,降低企业安全风险。(150字)
忆联 Docker+MySQL 流控方案:打造安全高效存储底座,释放 AI 极致性能
UnionMemory的博客
06-26 826
文本探讨了基于Docker部署的MySQL数据库在AI应用中的关键作用。通过忆联PCIe5.0企业级SSD(UH812a)的实测验证,展示了Namespace技术与QoS优化策略如何实现存储资源的精细化管理,在只读、只写和混合读写场景中,性能偏差分别控制在1%和2%以内。该方案具备弹性资源定制、数据安全隔离、智能运维和成本优化四大优势,有效解决了传统数据库部署的灵活性不足问题,为AI应用提供了高效稳定的数据存储解决方案,降低了企业整体TCO。
病毒入侵?漏洞暴露?腾讯 iOA 一键封杀安全威胁!
最新发布
weixin_43735236的博客
06-27 182
办公流程瘫痪,文件被加密勒索,客户信息不知何时被泄漏......这些惊险场景,足以使中小企业元气大伤,据统计,超75%的中小企业都曾遭受过病毒或漏洞攻击,平均每次修复成本高达50万元。终端安全防护已非 “可选项”,而是关乎企业生存的 “必答题”!面对来势汹汹的病毒入侵与软件漏洞问题,中小企业急需有效解决办法。腾讯iOA为中小企业免费提供终端安全防护,轻松应对这些安全威胁——实时监测终端风险,自动修复漏洞,让企业在数字化办公中安心无忧!中小企业终端安全防护的三大现实困境1. 员工安全意识薄弱:随意点击钓鱼邮件
安全壁垒 - K8s 的 RBAC、NetworkPolicy 与 SecurityContext 精要
weixin_42587823的博客
06-25 773
K8s安全机制精要 Kubernetes安全体系包含三个核心组件: RBAC:精确控制API访问权限,通过角色(Role/ClusterRole)和绑定(RoleBinding/ClusterRoleBinding)实现最小权限分配 NetworkPolicy:定义Pod间网络隔离规则,依赖CNI插件实现,默认全通,启用后转为默认拒绝 SecurityContext:容器运行时安全配置,包括非root运行、权限降级等 最佳实践: 遵循最小权限原则 为应用创建专用ServiceAccount 定期审计权限配置
十、windows服务器搭建--FTP安全配置
bronze_s的博客
06-26 786
本文介绍了在Windows 2003/IIS 6.0环境下配置安全FTP服务器的方法。主要内容包括:FTP工作原理说明(控制连接和数据连接);通过创建隔离用户账号(test1、test2)和设置目录权限实现用户隔离;建立FTP站点时的关键安全配置,如更改默认端口、限制连接数、禁用匿名访问;以及使用NTFS文件系统的重要性。实验表明,通过合理的权限管理和安全设置,可以有效提升FTP服务器的安全性,防止拒绝服务攻击和未授权访问。最终实现了不同用户只能访问各自指定目录的安全FTP环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值