/ 目录 / 演练场 / Archestra
← 全部服务器 ↗ GitHub
● 社区 archestra-ai ⚡ 即开即用

Archestra

作者 archestra-ai · archestra-ai/archestra

在单个企业级网关背后运行数十个 MCP 服务器——注册中心、认证、安全策略、审计日志,一应俱全。

Archestra 是一个企业级 MCP 控制平面:一个包含已审核服务器的私有注册中心、一个以单一 URL 和认证机制代理多个 MCP 的网关、一个路由调用并执行安全策略的编排器,以及一个审计日志。专为 IT 和安全团队构建,让他们能够在组织内推广 MCP,而不必让每个工程师自己配置服务器和凭据。支持自托管,具备基于角色的访问控制和工具级策略。

▶ 观看演示 📦 安装 💡 使用场景

为什么要用

核心特性

实时演示

实际使用效果

archestra-mcp.replay ▶ 就绪
0/0

安装

选择你的客户端

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

打开 Claude Desktop → Settings → Developer → Edit Config。保存后重启应用。

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor 使用与 Claude Desktop 相同的 mcpServers 格式。项目级配置优先于全局。

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

点击 Cline 侧栏中的 MCP Servers 图标,然后选 "Edit Configuration"。

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

格式与 Claude Desktop 相同。重启 Windsurf 生效。

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

Continue 使用服务器对象数组,而非映射。

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

加入 context_servers。Zed 保存后热重载。

claude mcp add archestra-mcp -- npx -y archestra

一行命令搞定。用 claude mcp list 验证,claude mcp remove 卸载。

使用场景

实战用法: Archestra

在不向每个开发者分发原始 API key 的情况下,为组织推广 MCP

👤 平台 / IT / 安全团队 ⏱ ~90 min advanced

何时使用: 开发者想用 MCP,但你无法接受 200 个 PAT 散落在各个笔记本上。

前置条件
  • 一台主机(虚拟机或 k8s)和 SSO 提供商(Okta/Entra/Google) — 标准基础设施——Archestra 自带 postgres + redis
步骤
  1. 部署网关
    Walk me through deploying Archestra via Docker Compose. Bind to https://mcp.example.com and configure Okta OIDC.✓ 已复制
    → Compose 文件已写入;访问该 URL 会跳转到登录页
  2. 添加服务器
    Add github, postgres, and slack MCPs to the registry. Store creds in Archestra vault, not env vars.✓ 已复制
    → 三个服务器已列出;各服务器凭据已加密存储
  3. 为用户授权
    Give engineering group access to github (read-only) and postgres (read-only). No slack.✓ 已复制
    → 访问策略已应用;从某个开发者的 claude 配置冒烟测试通过

结果: 整个组织通过单一 MCP URL 通信;你控制每个角色可以调用哪些工具。

注意事项
  • SSO token 过期导致活跃的 Claude 会话中断 — 在 OIDC 中配置刷新 token 模式;Archestra 会透明地轮换

在网关层而非客户端配置中屏蔽危险工具

👤 安全和合规团队 ⏱ ~30 min intermediate

何时使用: 部分 MCP 包含你绝对不想暴露的破坏性工具(删除仓库、清空表)。

步骤
  1. 清点工具
    List every tool exposed across registered MCPs.✓ 已复制
    → 扁平工具列表,可能有数百条
  2. 定义策略
    Block: github.delete_repo, postgres.execute_ddl, slack.delete_message. Allow everything else.✓ 已复制
    → 策略已创建;受影响的工具标记为已屏蔽
  3. 验证
    Have a Claude session try github.delete_repo. Should fail at the gateway with a clear message.✓ 已复制
    → 调用被拒绝;审计日志记录一条

结果: 一份可向 CISO 展示的策略,证明「这些工具在边界处无法被调用」。

注意事项
  • MCP 服务器升级后新增了一个工具 — Archestra 在注册中心刷新时会提示「检测到新工具」——审查后再决定是否允许

获取每个用户每次 MCP 调用的审计记录

👤 运维、合规审计、事后复盘 ⏱ ~15 min intermediate

何时使用: 生产环境发生了异常,你需要知道是哪个 agent 运行了哪个工具。

步骤
  1. 查找时间窗口
    Pull all calls between 14:00 and 15:30 today. Group by user.✓ 已复制
    → 按用户分组的表格;每行含工具名、参数和结果预览
  2. 深入异常
    Anything that looks unusual — delete operations, off-hour activity?✓ 已复制
    → 高亮可疑条目
  3. 导出
    Export the slice as CSV for compliance.✓ 已复制
    → CSV 已写入

结果: 一份无需从头重建的可信审计记录。

注意事项
  • 默认保留期为 30 天 — 通过配置延长保留期,或将日志流式传输到 SIEM
搭配使用: filesystem

组合

与其他 MCP 搭配,撬动十倍杠杆

archestra-mcp + filesystem

导出审计切片用于合规存档

Export this week's audit log to /audit/$(date +%V).csv.✓ 已复制
archestra-mcp + github

以 infrastructure-as-code 方式管理 Archestra 配置

Diff my live policy with /repo/archestra/policy.yaml and open a PR if drifted.✓ 已复制

工具

此 MCP 暴露的能力

工具输入参数何时调用成本
list_servers (无) 发现可用的服务器 免费
list_tools server? 列出所有服务器的工具 免费
audit_query from, to, user?, server?, tool? 取证或合规审查 1 次 DB 查询
policy_set scope, allow[], deny[] 调整角色或工具级策略 免费

成本与限制

运行它的成本

API 配额
自托管;取决于你的基础设施
每次调用 Token 数
每次调用增加极少量开销
费用
免费开源;提供商业支持
提示
将审计保留期控制在 30-90 天,将旧数据流传输到 S3 以实现低成本长期存储

安全

权限、密钥、影响范围

最小权限: 配置需要管理员权限 普通用户仅使用 SSO 范围
凭据存储: Archestra Vault(静态加密);不在用户客户端中使用原始环境变量
数据出站: 留在你的基础设施内;仅向已注册的 MCP 服务器发出出站请求
切勿授予: 向普通开发者授予管理员权限

故障排查

常见错误与修复

OIDC 重定向循环

确认 redirect_uri 包含末尾斜杠;部分 IdP 对此要求严格

验证: 测试 IdP 发起的 SSO——如果成功,则问题在于 redirect URI
工具被意外屏蔽

检查策略优先级——deny 规则优先于 allow

验证: 使用 `policy_test` 加上角色和工具,查看解析后的决策
服务器不可达

检查已注册 MCP 的 stdio/http 传输配置——Archestra 会记录底层错误

验证: 使用相同凭据单独运行该 MCP

替代方案

Archestra 对比其他方案

替代方案何时用它替代权衡
MCPJungle你想要更轻量的「所有服务器统一接入」方案,不需要企业级功能MCPJungle 更简单;Archestra 增加了策略、审计和 SSO
samanhappy/mcphub自托管开源 Hub 加上良好的 UI 就够用了MCPHub 更面向开发者;Archestra 面向企业治理

更多

资源

📖 阅读 GitHub 上的官方 README

🐙 查看未解决的 issue

🔍 浏览全部 400+ MCP 服务器和 Skills