/ 目錄 / 演練場 / Archestra
← 全部伺服器 ↗ GitHub
● 社群 archestra-ai ⚡ 即開即用

Archestra

作者 archestra-ai · archestra-ai/archestra

在一個企業閘道器後方執行數十個 MCP 伺服器——登錄中心、驗證、防護規則、稽核日誌,一應俱全。

Archestra 是企業級的 MCP 控制平面:一個經過審核的伺服器私有登錄中心、一個以單一 URL 加驗證為前端的閘道器、一個路由呼叫並強制執行防護規則的協調器,以及一份稽核日誌。專為 IT/資安團隊而生,讓他們能在組織內啟用 MCP,而無需每位工程師自行連線伺服器與管理憑證。可自托管,具備角色存取控制與每工具策略。

▶ 觀看演示 📦 安裝 💡 使用場景

為什麼要用

核心特性

即時演示

實際使用效果

archestra-mcp.replay ▶ 就緒
0/0

安裝

選擇你的客戶端

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

開啟 Claude Desktop → Settings → Developer → Edit Config。儲存後重啟應用。

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

Cursor 使用與 Claude Desktop 相同的 mcpServers 格式。專案級設定優先於全域。

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

點擊 Cline 側欄中的 MCP Servers 圖示,然後選 "Edit Configuration"。

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "archestra-mcp": {
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  }
}

格式與 Claude Desktop 相同。重啟 Windsurf 生效。

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "archestra-mcp",
      "command": "npx",
      "args": [
        "-y",
        "archestra"
      ]
    }
  ]
}

Continue 使用伺服器物件陣列,而非映射。

~/.config/zed/settings.json
{
  "context_servers": {
    "archestra-mcp": {
      "command": {
        "path": "npx",
        "args": [
          "-y",
          "archestra"
        ]
      }
    }
  }
}

加入 context_servers。Zed 儲存後熱重載。

claude mcp add archestra-mcp -- npx -y archestra

一行命令搞定。用 claude mcp list 驗證,claude mcp remove 移除。

使用場景

實戰用法: Archestra

在不讓每位開發者持有原始 API 金鑰的情況下,向整個組織推廣 MCP

👤 平台 / IT / 資安團隊 ⏱ ~90 min advanced

何時使用: 你的開發者想用 MCP,但你無法讓 200 個個人存取權杖(PAT)散落在各自的筆電上。

前置條件
  • 一台主機(VM 或 k8s)和 SSO 供應商(Okta/Entra/Google) — 標準基礎設施——Archestra 自帶 postgres + redis
步驟
  1. 部署閘道器
    Walk me through deploying Archestra via Docker Compose. Bind to https://mcp.example.com and configure Okta OIDC.✓ 已複製
    → Compose 檔案已寫入;閘道器在該 URL 回應並導向登入頁
  2. 新增伺服器
    Add github, postgres, and slack MCPs to the registry. Store creds in Archestra vault, not env vars.✓ 已複製
    → 三個伺服器已列出;每個伺服器的憑證已加密儲存
  3. 設定使用者
    Give engineering group access to github (read-only) and postgres (read-only). No slack.✓ 已複製
    → 存取策略已套用;開發者的 claude 設定冒煙測試通過

結果: 整個組織使用同一個 MCP URL;你控制每個角色可呼叫哪些工具。

注意事項
  • SSO token 過期導致活躍的 Claude 工作階段中斷 — 在 OIDC 中設定 refresh token 模式;Archestra 會自動透明地輪換

在閘道器層封鎖危險工具,而非在客戶端設定中處理

👤 資安/合規團隊 ⏱ ~30 min intermediate

何時使用: 部分 MCP 帶有你永遠不想公開的破壞性工具(刪除版本庫、刪除資料表)。

步驟
  1. 盤點工具
    List every tool exposed across registered MCPs.✓ 已複製
    → 平鋪的工具清單,可能有數百個項目
  2. 定義策略
    Block: github.delete_repo, postgres.execute_ddl, slack.delete_message. Allow everything else.✓ 已複製
    → 策略已建立;受影響的工具被標記為封鎖
  3. 驗證
    Have a Claude session try github.delete_repo. Should fail at the gateway with a clear message.✓ 已複製
    → 呼叫被拒絕;稽核日誌有記錄

結果: 一份可向資安長(CISO)展示的策略,說明「這些工具無法在閘道器層被呼叫」。

注意事項
  • MCP 伺服器升級後新增了新工具 — Archestra 在登錄中心刷新時會顯示「偵測到新工具」——審核後再允許

取得每位使用者的所有 MCP 呼叫稽核追蹤記錄

👤 維運、稽核、事後調查 ⏱ ~15 min intermediate

何時使用: 正式環境發生異狀,你需要知道哪個 agent 執行了哪個工具。

步驟
  1. 找出時間範圍
    Pull all calls between 14:00 and 15:30 today. Group by user.✓ 已複製
    → 依使用者分組的表格;每個工具、參數與結果預覽
  2. 深入調查異常
    Anything that looks unusual — delete operations, off-hour activity?✓ 已複製
    → 標記出可疑項目
  3. 匯出
    Export the slice as CSV for compliance.✓ 已複製
    → CSV 已寫入

結果: 無需自行建立的可信稽核追蹤記錄。

注意事項
  • 預設保留期限為 30 天 — 透過設定延長保留期限,或串流至你的 SIEM
搭配使用: filesystem

組合

與其他 MCP 搭配,撬動十倍槓桿

archestra-mcp + filesystem

匯出稽核切片以供合規存檔

Export this week's audit log to /audit/$(date +%V).csv.✓ 已複製
archestra-mcp + github

追蹤基礎設施設定(Archestra 設定即程式碼)

Diff my live policy with /repo/archestra/policy.yaml and open a PR if drifted.✓ 已複製

工具

此 MCP 暴露的能力

工具輸入參數何時呼叫成本
list_servers (none) 了解可用資源 free
list_tools server? 列出所有伺服器的工具 free
audit_query from, to, user?, server?, tool? 鑑識 / 合規用途 1 DB query
policy_set scope, allow[], deny[] 調整每角色 / 每工具的策略 free

成本與限制

運行它的成本

API 配額
自托管;受限於你的基礎設施
每次呼叫 Token 數
每次呼叫增加極少量額外負擔
費用
免費開源;提供商業支援
提示
將稽核保留期限控制在 30–90 天,並將舊資料串流至 S3 以降低長期儲存成本

安全

權限、密鑰、影響範圍

最小權限: Admin to configure End users use SSO scopes only
憑證儲存: Archestra Vault(靜態加密);使用者端永遠不會有原始環境變數
資料出站: 保留在你的基礎設施內;僅對外發送至已登錄的 MCP 伺服器
切勿授予: Admin to ordinary developers

故障排查

常見錯誤與修復

OIDC 重定向迴圈

確認 redirect_uri 包含結尾斜線;部分 IdP 對此很嚴格

驗證: 測試 IdP 發起的 SSO——若成功,則問題在重定向 URI
工具被意外封鎖

檢查策略優先順序——拒絕規則優先於允許規則

驗證: 使用 `policy_test` 搭配角色與工具查看解析後的決策
伺服器無法連線

檢查已登錄 MCP 的 stdio/http 傳輸——Archestra 日誌有底層錯誤

驗證: 以相同憑證單獨執行該 MCP

替代方案

Archestra 對比其他方案

替代方案何時用它替代權衡
MCPJungle你想要較輕量的「所有伺服器在單一端點」方案,而不需要企業功能MCPJungle 較簡單;Archestra 額外提供策略、稽核與 SSO
samanhappy/mcphub自托管的開源 Hub 搭配良好的管理 UI 就足夠了MCPHub 更偏向開發者;Archestra 針對企業治理

更多

資源

📖 閱讀 GitHub 上的官方 README

🐙 查看未解決的 issue

🔍 瀏覽全部 400+ MCP 伺服器和 Skills