أبرز النقاط
- Claude Apps Gateway خدمة ذاتية الاستضافة توحّد إدارة الهوية والسياسات والإنفاق لأدوات Claude Code على مستوى المؤسسة
- البوابة تلغي الحاجة لتوزيع مفاتيح حسابات الخدمة أو ملفات الإعدادات يدوياً على أجهزة المطورين
- يمكن ضبط سقوف إنفاق يومية أو أسبوعية أو شهرية لكل مستخدم أو فريق مع قياس فعلي للاستهلاك
حين يعمل مطوّر واحد أو فريق صغير مع Claude Code على Google Cloud، يكفي توجيه المتغير CLAUDE_CODE_USE_VERTEX=1 نحو مشروع GCP ومنح الدور roles/aiplatform.user، ويبقى الاستدلال داخل محيط السحابة. لكن ما إن تحاول المؤسسة نشر الأداة على عشرات أو مئات المطورين، تظهر العقبات المألوفة: إدارة بيانات اعتماد فردية، توزيع ملف managed-settings.json عبر MDM، غياب نسب الاستخدام لكل مطور، وصعوبة فرض سقوف إنفاق واضحة.
للإجابة على هذا التحدي، أعلنت Anthropic عن Claude Apps Gateway: خدمة ذاتية الاستضافة تُشحَن مع الملف التنفيذي claude ذاته، وتقع مباشرة بين عملاء Claude Code المحليين وخدمات Google Cloud، لتوحيد الحوكمة في نقطة مركزية واحدة.
لماذا تحتاج المؤسسات إلى بوابة مركزية لأدوات الذكاء الاصطناعي؟
تُركّز البوابة أربعة محاور حوكمة كان يتحملها المطورون ومسؤولو المنصات كلٌّ على حدة: الهوية، السياسات، القياس، والتوجيه.
إدارة الهوية: تسجيل دخول موحّد بلا مفاتيح على الأجهزة
يمرّ طلب /login عبر مزوّد الهوية — سواء Google Workspace أو أي مزوّد يدعم OIDC — وتستبدل البوابة الرمز بجلسة قصيرة العمر. لا تصل مفاتيح حسابات الخدمة أو API Keys أو معرّف المشروع إلى جهاز المطور إطلاقاً. الانضمام للمنظومة يعني ببساطة إضافة المستخدم إلى مجموعة IdP، والإلغاء يعني إزالته؛ عند أول تجديد للجلسة يفشل الوصول فوراً.

سياسات RBAC تُكتب مرة وتُنفَّذ في كل مكان
تُعرَّف قواعد التحكم بالوصول المستند إلى الأدوار في ملف gateway.yaml واحد، وتُحلّ لكل مجموعة وتُطبَّق من جانب الخادم. تعيد البوابة التحقق من قائمة النماذج المتاحة availableModels مع كل استدعاء لـ /v1/messages، لذا تعديل ملف managed-settings.json محلياً لن يُغيّر شيئاً، وأي تحديث للقواعد يصل الأسطول بأكمله خلال ساعة.
قياس الاستهلاك وسقوف الإنفاق
يحمل كل قياس claude_code.token.usage البريد الإلكتروني والمجموعات المستخلصة من JWT الجلسة المُوقَّع، لا من سمات OTEL_RESOURCE_ATTRIBUTES القابلة للتلاعب. تُرسَل البيانات عبر OTLP/HTTP إلى أي جامع تشغّله المؤسسة: Cloud Monitoring أو Grafana أو Datadog.
يمكن تعيين سقوف إنفاق يومية أو أسبوعية أو شهرية لكل مستخدم أو مجموعة أو مؤسسة عبر واجهة برمجة الإدارة. تقيس البوابة الرموز مقابل سجل في Cloud SQL وتُعيد الرمز 429 عند بلوغ الحد. تُحتسب التكاليف بالأسعار المُعلنة؛ لذا يُنصح باستخدامها كحاجز أمان ضد الاستهلاك الجامح لا كأداة مطابقة فواتير، إذ لا تظهر خصومات الالتزام أو الأسعار التفاوضية.
التوجيه: هوية خدمة واحدة واستدلال داخل المحيط
تخرج الاستدعاءات تحت هوية خدمة Cloud Run واحدة. يمكن ضبط region: global للنقطة الطرفية العالمية لـ Agent Platform، أو إضافة إدخال upstreams: ثانٍ للتبديل التلقائي عند أخطاء 5xx أو 429 أو انتهاء المهلة. في كلتا الحالتين، يبقى الاستدلال في مشروع GCP الخاص بالمؤسسة مع الحفاظ على الحصص واتفاقية معالجة البيانات والفوترة.

كيف تتكامل المكوّنات معاً؟
يُرسل عميل claude المحلي أو المنشور حركة الاستدلال إلى البوابة عبر HTTPS. البوابة حاوية عديمة الحالة على Cloud Run. تتحقق من رمز الجلسة — يُتّصَل بـ Google Workspace فقط عند تسجيل الدخول وتجديد الرمز — ثم تفحص السياسة وتُمرّر الطلب إلى Agent Platform باستخدام حساب خدمة Cloud Run. يحتفظ Cloud SQL بحالة تسجيل الدخول بالجهاز وسجل الإنفاق، ويستقبل جامع OTLP القياسات المنسوبة.
خطوات الإعداد على Google Cloud
يتضمن التوثيق الرسمي كل أوامر gcloud ومرجع gateway.yaml الكامل. إليك الخطوط العريضة:
- الخطوة الأولى: تمكين واجهات Agent Platform وCloud SQL وSecret Manager؛ إنشاء حساب خدمة claude-gateway بالدور roles/aiplatform.user؛ إطلاق نسخة Postgres صغيرة لحفظ الحالة. لا حاجة لإنشاء مفتاح حساب خدمة — البوابة تتحقق كهوية Cloud Run.
- إنشاء عميل OAuth من نوع Web application في وحدة تحكم Google Cloud ليصدر client_id وclient_secret لمصافحة OIDC مع Google Workspace.
- الخطوة الثانية: كتابة ملف gateway.yaml يشير إلى عميل OIDC وسلسلة اتصال Postgres وAgent Platform كمصدر بيانات علوي، ثم تخزينه في Secret Manager مع السر ومفتاح توقيع JWT.

أين تقع البوابة ضمن خيارات نشر Claude للمؤسسات؟
تُكمّل Claude Apps Gateway خيارات النشر القائمة: الوصول المباشر عبر Vertex AI للفرق الصغيرة، أو Anthropic API للشركات الناشئة، أو Amazon Bedrock لمن يفضّلون AWS. البوابة تستهدف تحديداً المؤسسات الكبيرة التي تحتاج طبقة حوكمة إضافية دون التخلي عن مزايا بقاء البيانات في محيط GCP.
رأي Logicity
تُعالج البوابة نقطة احتكاك حقيقية واجهتها فرق المنصات: كيف توسّع نطاق أداة ذكاء اصطناعي من عشرة مطورين إلى ألف دون تحويل فريق الأمان إلى قسم توزيع مفاتيح. المنافسون مثل GitHub Copilot Enterprise وAmazon Q Developer يقدّمون إدارة مركزية مدمجة، لكن Claude Code كان يفتقر إليها حتى الآن. للمؤسسات الخليجية المشتركة في Google Cloud، تُلغي البوابة حاجز الامتثال الذي كان يدفع بعضها نحو Copilot رغم تفضيلها قدرات Claude الوكيلية.
الأسئلة الشائعة
هل تتطلب Claude Apps Gateway ترخيصاً منفصلاً؟
البوابة تُشحَن مع الملف التنفيذي claude ذاته ولا تتطلب ترخيصاً إضافياً؛ الفوترة تبقى على استهلاك الرموز عبر Agent Platform في مشروع GCP الخاص بك.
هل يمكن استخدام مزوّد هوية غير Google Workspace؟
نعم، تدعم البوابة أي مزوّد يتوافق مع OIDC/OpenID Connect، مما يشمل Okta وAzure AD وغيرها.
هل تظهر خصومات الالتزام في سقوف الإنفاق؟
لا، تُحتسب التكاليف بالأسعار المُعلنة فقط؛ لذا يُنصح باستخدام السقوف كحاجز أمان لا كأداة مطابقة فواتير.
أين تُخزَّن بيانات الجلسات والإنفاق؟
في قاعدة بيانات Cloud SQL Postgres داخل مشروع GCP الخاص بالمؤسسة، مما يُبقي البيانات ضمن المحيط السيادي.
هل يمكن نشر البوابة على بيئات سحابية أخرى؟
التوثيق الحالي يركّز على Google Cloud؛ لم تُعلن Anthropic بعد عن دعم رسمي لـ AWS أو Azure لهذه البوابة تحديداً.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تخطط لنشر Claude Apps Gateway في مؤسستك، تواصل مع فريق Logicity للحصول على استشارة تقنية حول أفضل بنية تناسب متطلبات الامتثال والحوكمة لديك.
فاطمة الزهراء
كاتبة تقنية متخصصة في الذكاء الاصطناعي
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.







