mcp-cloudflare

DNS、ゾーン、トンネル、WAF、Zero Trust、セキュリティをCloudflare API v4経由で管理するための軽量なCloudflare MCPサーバー。

SSH不要。シェル実行不要。APIのみ。ランタイム依存関係は3つ。

目次

• 機能

• クイックスタート

• Claude Code統合

• 設定

• マルチゾーンサポート

• ツール

• スキル

• 開発

• ライセンス

機能

11のドメインにわたる75のツール：

• DNS — レコード管理（A, AAAA, CNAME, MX, TXT, SRV, CAA, NS）、バッチ操作

• ゾーン — ゾーン一覧、設定、SSL/TLS構成、キャッシュ管理

• トンネル — Cloudflare Tunnelの作成、構成、イングレス管理

• WAF — ルールセット管理、カスタムファイアウォールルール、レート制限

• Zero Trust — AccessアプリケーションのCRUD（作成/削除）、ポリシー（作成/削除）、IDプロバイダー（作成/削除）、Gatewayステータス

• セキュリティ — セキュリティイベント分析、IPアクセスルール、DDoS構成、Security Centerのインサイト

• Workers KV — 名前空間管理、キーバリューの読み取り/書き込み/削除、キー一覧

• Workers — スクリプトデプロイ、ルート管理

• Worker Secrets — シークレット管理（名前のみ、値は決して公開されません）

• Worker Analytics — GraphQL経由の呼び出しメトリクス、CPU時間、エラー率

• R2 Storage — バケット管理、オブジェクト一覧とメタデータ、カスタムドメイン、ロケーションヒント

クイックスタート

npm install
cp .env.example .env   # Edit with your Cloudflare API token
npm run build
node dist/index.js     # stdio transport for MCP

Claude Code統合

プロジェクトルートの .mcp.json に追加します：

{
  "mcpServers": {
    "cloudflare": {
      "command": "node",
      "args": ["/path/to/mcp-cloudflare/dist/index.js"],
      "env": {
        "CLOUDFLARE_API_TOKEN": "your-api-token-here",
        "CLOUDFLARE_ACCOUNT_ID": "your-account-id"
      }
    }
  }
}

設定

HashiCorp Vault (AppRole) からのシークレット読み込み

中央のVaultインスタンスを実行している場合、mcp-cloudflare はMCP設定を介して渡す代わりに、起動時にAppRole経由で認証情報を取得できます：

export NAS_VAULT_ADDR=https://vault.example.com
export NAS_VAULT_ROLE_ID=<role-id>
export NAS_VAULT_SECRET_ID=<secret-id>
# optional — defaults to "kv"
export NAS_VAULT_KV_MOUNT=kv

ローダーは <mount>/data/cloudflare/api でKV v2を読み取り、api_token と account_id の2つのキーを期待します。Vault書き込みの例：

vault kv put kv/cloudflare/api \
  api_token=your-api-token-here \
  account_id=00000000000000000000000000000000

優先順位: process.env (明示的) > Vault。NAS_VAULT_ADDR が設定されていない場合、ローダーは何も行わず、サーバーは以前と全く同じように動作します。Vaultエラー（ネットワーク、認証、パスの欠落など）が発生した場合、1行の警告がstderrに書き込まれ、サーバーは既に設定されている環境変数にフォールバックします。

セキュリティ: シークレット値はログに記録されません。stderrの診断情報には、KVパス名と読み込まれた数のみが表示されます。グローバルな fetch (Node 20+) を使用するため、新しいランタイム依存関係はありません。

APIトークンの権限

dash.cloudflare.com/profile/api-tokens で、必要な権限に基づいてAPIトークンを作成してください：

• DNS: Zone > DNS > Edit

• Zone settings: Zone > Zone Settings > Edit

• Cache purge: Zone > Cache Purge > Edit

• Tunnels: Account > Cloudflare Tunnel > Edit

• WAF: Zone > Firewall Services > Edit

• Zero Trust: Account > Access: Apps and Policies > Edit

• Security events: Zone > Analytics > Read

• Workers KV: Account > Workers KV Storage > Edit

• Workers: Account > Worker Scripts > Edit

• R2: Account > R2 Storage > Edit

マルチゾーンサポート

すべてのゾーンスコープのツールは、以下のいずれかの zone_id パラメータを受け入れます：

• 32文字の16進数ゾーンID (例: 00000000000000000000000000000001) — 直接使用されます

• ゾーン名 / ドメイン (例: example.com) — Cloudflare API経由で自動的に解決されます

これにより、IDを手動で検索することなく、名前で複数のゾーンを管理できます。

ツール

ツールのドキュメントは、ツールモジュールが実装されるv1で提供予定です。計画されているAPIエンドポイントのマッピングについては docs/api-reference.md を参照してください。

スキル

Claude Codeのスキルは、MCPツールを組み合わせてより高度なワークフローを作成します。詳細なドキュメントについては .claude/skills/README.md を参照してください。

開発

npm run build      # Compile TypeScript
npm test           # Run unit tests (vitest)
npm run typecheck  # Type check only (no emit)

貢献ガイドラインについては CONTRIBUTING.md を参照してください。

ライセンス

このプロジェクトはデュアルライセンスです：

• オープンソース: GNU Affero General Public License v3.0 (AGPL-3.0) — オープンソースおよび非商用利用は無料

• 商用: プロプライエタリな統合向けに利用可能 — COMMERCIAL_LICENSE.md を参照

mcp-cloudflareをプロプライエタリな製品やSaaS製品で使用する場合は、商用ライセンスが必要です。GitHubでスポンサーになって 開発を支援してください。