From bfae5bbbdbad50c8a58428a4068a5dbfe8482c86 Mon Sep 17 00:00:00 2001 From: Kantin-Petit Date: Tue, 23 Jun 2026 01:46:43 +0200 Subject: [PATCH] docs: fige le chemin endpoint MCP natif n8n /mcp-server/http (v0.15.1) MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Confirme MCP_N8N_URL = .../mcp-server/http (hôte interne préféré, URL publique TLS possible + egress du domaine). Note egress dans networks.md. Palier de risque : n/a (doc). Co-Authored-By: Claude Opus 4.8 --- .env.example | 5 ++++- infra/networks.md | 3 ++- 2 files changed, 6 insertions(+), 2 deletions(-) diff --git a/.env.example b/.env.example index 9dd51f5..f728170 100644 --- a/.env.example +++ b/.env.example @@ -13,7 +13,10 @@ OLLAMA_MODEL=qwen3:cloud # modèle cloud (suffixe :cloud), tool-call # Pas de conteneur dédié : n8n sert son propre MCP. Activer côté instance # (env d'instance + activation par workflow), puis copier l'URL + le token # depuis n8n → Connection details. URL = endpoint MCP de l'instance (interne). -MCP_N8N_URL=http://n8n:5678/mcp # à confirmer dans Connection details de n8n +# Chemin natif n8n = /mcp-server/http. Préférer l'hôte INTERNE (réseau Docker) ; +# si le MCP n'est routé que via le domaine public, utiliser l'URL publique (TLS) +# et autoriser ce domaine en egress (voir infra/networks.md). +MCP_N8N_URL=http://n8n:5678/mcp-server/http # ou https:///mcp-server/http MCP_N8N_AUTH_TOKEN= # SECRET — "MCP Access Token" n8n (Bearer) # ── MCP Portainer (portainer/portainer-mcp) ──────────────────────────── diff --git a/infra/networks.md b/infra/networks.md index a5c52b5..6a22274 100644 --- a/infra/networks.md +++ b/infra/networks.md @@ -25,7 +25,8 @@ ## Egress (pare-feu) - Politique par défaut : **deny**. - Autoriser : `ollama.com` (proxy cloud), et `api.telegram.org` quand la surface - Telegram est active. + Telegram est active. Si le MCP n8n est joint via son **domaine public** (au lieu + de l'hôte interne), autoriser aussi ce domaine (endpoint `/mcp-server/http`, TLS). - À appliquer au niveau hôte (iptables/nftables ou réseau Docker dédié) ; documenté ici, mis en œuvre côté infra serveur (hors dépôt si géré par l'hôte).