/ Каталог / Песочница / Archestra
← Все серверы ↗ GitHub
● Сообщество archestra-ai ⚡ Сразу

Archestra

автор archestra-ai · archestra-ai/archestra

Запустите десятки MCP-серверов за единым корпоративным шлюзом — реестр, аутентификация, ограничители, журнал аудита и всё остальное.

Archestra — это корпоративная плоскость управления MCP: приватный реестр проверенных серверов, шлюз с единым URL и аутентификацией, оркестратор с маршрутизацией вызовов и применением ограничений, а также журнал аудита. Создан для IT/security-команд, которые хотят предоставить MCP всей организации, не заставляя каждого инженера самостоятельно настраивать сервера и credentials. Поддерживает self-hosting, ролевой доступ и политики на уровне инструментов.

▶ Смотреть демо 📦 Установить 💡 Сценарии

Зачем использовать

Ключевые функции

Живое демо

Как выглядит на практике

archestra-mcp.replay ▶ готово
0/0

Установка

Выберите клиент

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Откройте Claude Desktop → Settings → Developer → Edit Config. Перезапустите после сохранения.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor использует ту же схему mcpServers, что и Claude Desktop. Конфиг проекта приоритетнее глобального.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Щёлкните значок MCP Servers на боковой панели Cline, затем "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Тот же формат, что и Claude Desktop. Перезапустите Windsurf для применения.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

Continue использует массив объектов серверов, а не map.

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

Добавьте в context_servers. Zed перезагружается автоматически.

claude mcp add archestra-mcp -- npx -y archestra

Однострочная команда. Проверить: claude mcp list. Удалить: claude mcp remove.

Сценарии использования

Реальные сценарии: Archestra

Развёртывание MCP в организации без выдачи каждому разработчику «сырых» API-ключей

👤 Platform / IT / security-команды ⏱ ~90 min advanced

Когда использовать: Разработчики хотят MCP, но 200 PAT-токенов на рабочих ноутбуках — недопустимо.

Предварительные требования
  • Хост (VM или k8s) и SSO-провайдер (Okta/Entra/Google) — Стандартная инфраструктура — Archestra поставляется с собственными postgres + redis
Поток
  1. Развернуть шлюз
    Walk me through deploying Archestra via Docker Compose. Bind to https://mcp.example.com and configure Okta OIDC.✓ Скопировано
    → Compose-файл написан; шлюз отвечает по URL и перенаправляет на логин
  2. Добавить серверы
    Add github, postgres, and slack MCPs to the registry. Store creds in Archestra vault, not env vars.✓ Скопировано
    → Три сервера в списке; credentials хранятся зашифрованными
  3. Создать пользователя
    Give engineering group access to github (read-only) and postgres (read-only). No slack.✓ Скопировано
    → Политика доступа применена; smoke-тест из конфига claude разработчика проходит

Итог: Вся организация работает через один MCP URL; вы контролируете, какие инструменты доступны каждой роли.

Подводные камни
  • Истечение SSO-токена прерывает активные сессии Claude — Настройте refresh-token в OIDC; Archestra будет ротировать токены прозрачно

Блокировать опасные инструменты на уровне шлюза, а не в клиентском конфиге

👤 Security/compliance-команды ⏱ ~30 min intermediate

Когда использовать: Некоторые MCP поставляются с деструктивными инструментами (удаление репозитория, DROP TABLE), которые вы просто никогда не хотите открывать.

Поток
  1. Инвентаризация инструментов
    List every tool exposed across registered MCPs.✓ Скопировано
    → Плоский список инструментов, сотни записей
  2. Определить политику
    Block: github.delete_repo, postgres.execute_ddl, slack.delete_message. Allow everything else.✓ Скопировано
    → Политика создана; затронутые инструменты помечены как заблокированные
  3. Проверить
    Have a Claude session try github.delete_repo. Should fail at the gateway with a clear message.✓ Скопировано
    → Вызов отклонён; запись в журнале аудита

Итог: Политика, которую можно показать CISO: «эти инструменты не могут быть вызваны на периметре».

Подводные камни
  • При обновлении MCP-сервера появляется новый инструмент — Archestra выводит уведомление «новый инструмент обнаружен» при обновлении реестра — проверьте перед разрешением

Получить журнал аудита каждого MCP-вызова по пользователям

👤 Ops, аудит, постинцидентный разбор ⏱ ~15 min intermediate

Когда использовать: В production произошло что-то странное, и нужно выяснить, какой агент вызвал какой инструмент.

Поток
  1. Найти временной диапазон
    Pull all calls between 14:00 and 15:30 today. Group by user.✓ Скопировано
    → Таблица по пользователям; каждый инструмент + аргументы + предпросмотр результата
  2. Разобрать аномалии
    Anything that looks unusual — delete operations, off-hour activity?✓ Скопировано
    → Выделены подозрительные записи
  3. Экспортировать
    Export the slice as CSV for compliance.✓ Скопировано
    → CSV записан

Итог: Защищаемый журнал аудита без необходимости создавать его с нуля.

Подводные камни
  • Хранение по умолчанию — 30 дней — Увеличьте retention через конфиг или стримьте в ваш SIEM
Сочетать с: filesystem

Комбинации

Сочетайте с другими MCP — эффект x10

archestra-mcp + filesystem

Экспортировать срезы аудита в архивы compliance

archestra-mcp + github

Вести инфраструктурный конфиг (Archestra как конфиг в коде)

Инструменты

Что предоставляет этот MCP

ИнструментВходные данныеКогда вызыватьСтоимость
list_servers (нет) Узнать, что доступно бесплатно
list_tools server? Получить список инструментов по всем серверам бесплатно
audit_query from, to, user?, server?, tool? Криминалистика / compliance 1 запрос к БД
policy_set scope, allow[], deny[] Настроить политики по ролям / инструментам бесплатно

Стоимость и лимиты

Во что обходится

Квота API
Self-hosted; ограничен вашей инфраструктурой
Токенов на вызов
Добавляет небольшой overhead на каждый вызов
Деньги
Бесплатно как OSS; доступна коммерческая поддержка
Совет
Ограничивайте retention аудита (30–90 дней) и стримьте старое в S3 для дешёвого долгосрочного хранения

Безопасность

Права, секреты, радиус поражения

Минимальные скоупы: Admin для настройки Конечные пользователи используют только SSO-scopes
Хранение учётных данных: Archestra Vault (зашифрован в покое); никогда не «сырые» env-переменные в клиентских конфигах
Исходящий трафик: Остаётся в вашей инфраструктуре; исходящие запросы — только к зарегистрированным MCP-серверам
Никогда не давайте: Admin обычным разработчикам

Устранение неполадок

Частые ошибки и исправления

Цикл перенаправления OIDC

Убедитесь, что redirect_uri содержит завершающий слэш; некоторые IdP строго проверяют это

Проверить: Проверьте через IdP-initiated SSO — если работает, проблема в redirect_uri
Инструмент неожиданно заблокирован

Проверьте приоритет политик — deny-правила имеют приоритет над allow

Проверить: Используйте `policy_test` с ролью + инструментом, чтобы увидеть принятое решение
Сервер недоступен

Проверьте stdio/http транспорт зарегистрированного MCP — Archestra логирует первопричину

Проверить: Запустите MCP отдельно с теми же credentials

Альтернативы

Archestra в сравнении

АльтернативаКогда использоватьКомпромисс
MCPJungleНужен более лёгкий «все серверы за одним эндпоинтом» без корпоративных излишествMCPJungle проще; Archestra добавляет политики, аудит и SSO
samanhappy/mcphubДостаточно self-hosted OSS-хаба с хорошим UIMCPHub ориентирован на разработчиков; Archestra нацелен на корпоративное управление

Ещё

Ресурсы

📖 Читать официальный README на GitHub

🐙 Открытые задачи

🔍 Все 400+ MCP-серверов и Skills