mcp-cloudflare

DNS, 영역(Zone), 터널, WAF, Zero Trust 및 보안을 Cloudflare API v4를 통해 관리하기 위한 슬림한 Cloudflare MCP 서버입니다.

SSH 없음. 셸 실행 없음. API 전용. 3개의 런타임 의존성.

목차

• 기능

• 빠른 시작

• Claude Code 통합

• 구성

• 다중 영역 지원

• 도구

• 기술(Skills)

• 개발

• 라이선스

기능

11개 도메인에 걸친 75개의 도구:

• DNS — 레코드 관리(A, AAAA, CNAME, MX, TXT, SRV, CAA, NS), 일괄 작업

• 영역(Zones) — 영역 목록, 설정, SSL/TLS 구성, 캐시 관리

• 터널(Tunnels) — Cloudflare 터널 생성, 구성 및 인그레스 관리

• WAF — 규칙 세트 관리, 사용자 지정 방화벽 규칙, 속도 제한

• Zero Trust — Access 애플리케이션 CRUD(생성/삭제), 정책(생성/삭제), ID 공급자(생성/삭제), Gateway 상태

• 보안 — 보안 이벤트 분석, IP 액세스 규칙, DDoS 구성, Security Center 인사이트

• Workers KV — 네임스페이스 관리, 키-값 읽기/쓰기/삭제, 키 목록 조회

• Workers — 스크립트 배포, 경로 관리

• Worker Secrets — 보안 비밀 관리(이름만 관리, 값은 절대 노출되지 않음)

• Worker Analytics — GraphQL을 통한 호출 메트릭, CPU 시간, 오류율

• R2 Storage — 버킷 관리, 객체 목록 및 메타데이터, 사용자 지정 도메인, 위치 힌트

빠른 시작

npm install
cp .env.example .env   # Edit with your Cloudflare API token
npm run build
node dist/index.js     # stdio transport for MCP

Claude Code 통합

프로젝트 루트의 .mcp.json에 추가하세요:

{
  "mcpServers": {
    "cloudflare": {
      "command": "node",
      "args": ["/path/to/mcp-cloudflare/dist/index.js"],
      "env": {
        "CLOUDFLARE_API_TOKEN": "your-api-token-here",
        "CLOUDFLARE_ACCOUNT_ID": "your-account-id"
      }
    }
  }
}

구성

HashiCorp Vault(AppRole)에서 보안 비밀 로드하기

중앙 Vault 인스턴스를 실행 중인 경우, mcp-cloudflare는 MCP 구성을 통해 전달하는 대신 시작 시 AppRole을 통해 자격 증명을 가져올 수 있습니다:

export NAS_VAULT_ADDR=https://vault.example.com
export NAS_VAULT_ROLE_ID=<role-id>
export NAS_VAULT_SECRET_ID=<secret-id>
# optional — defaults to "kv"
export NAS_VAULT_KV_MOUNT=kv

로더는 <mount>/data/cloudflare/api에서 KV v2를 읽으며 api_token과 account_id라는 두 개의 키를 기대합니다. Vault 쓰기 예시:

vault kv put kv/cloudflare/api \
  api_token=your-api-token-here \
  account_id=00000000000000000000000000000000

우선순위: process.env (명시적) > Vault. NAS_VAULT_ADDR이 설정되지 않으면 로더는 아무 작업도 수행하지 않으며 서버는 이전과 동일하게 작동합니다. Vault 오류(네트워크, 인증, 경로 누락 등) 발생 시 stderr에 한 줄의 경고가 기록되고 서버는 이미 설정된 환경 변수를 사용합니다.

보안: 보안 비밀 값은 절대 로그에 기록되지 않습니다. KV 경로 이름과 채워진 개수만 stderr 진단에 나타납니다. 전역 fetch(Node 20+)를 사용하므로 새로운 런타임 의존성이 없습니다.

API 토큰 권한

dash.cloudflare.com/profile/api-tokens에서 필요한 권한에 따라 API 토큰을 생성하세요:

• DNS: Zone > DNS > Edit

• Zone settings: Zone > Zone Settings > Edit

• Cache purge: Zone > Cache Purge > Edit

• Tunnels: Account > Cloudflare Tunnel > Edit

• WAF: Zone > Firewall Services > Edit

• Zero Trust: Account > Access: Apps and Policies > Edit

• Security events: Zone > Analytics > Read

• Workers KV: Account > Workers KV Storage > Edit

• Workers: Account > Worker Scripts > Edit

• R2: Account > R2 Storage > Edit

다중 영역 지원

모든 영역 범위 도구는 다음 중 하나일 수 있는 zone_id 매개변수를 허용합니다:

• 32자 16진수 영역 ID (예: 00000000000000000000000000000001) — 직접 사용됨

• 영역 이름 / 도메인 (예: example.com) — Cloudflare API를 통해 자동으로 확인됨

이를 통해 ID를 수동으로 조회할 필요 없이 이름으로 여러 영역을 관리할 수 있습니다.

도구

도구 문서는 도구 모듈이 구현됨에 따라 v1에서 제공될 예정입니다. 계획된 API 엔드포인트 매핑은 docs/api-reference.md를 참조하세요.

기술(Skills)

Claude Code 기술은 MCP 도구를 더 높은 수준의 워크플로우로 구성합니다. 자세한 문서는 .claude/skills/README.md를 참조하세요.

개발

npm run build      # Compile TypeScript
npm test           # Run unit tests (vitest)
npm run typecheck  # Type check only (no emit)

기여 가이드는 CONTRIBUTING.md를 참조하세요.

라이선스

이 프로젝트는 이중 라이선스가 적용됩니다:

• 오픈 소스: GNU Affero General Public License v3.0 (AGPL-3.0) — 오픈 소스 및 비상업적 용도로 무료

• 상업용: 독점 통합을 위해 사용 가능 — COMMERCIAL_LICENSE.md 참조

mcp-cloudflare를 독점 제품이나 SaaS 서비스에 사용하는 경우 상업용 라이선스가 필요합니다. GitHub에서 후원하여 개발을 지원해 주세요.