Über den Remote-MCP-Server eine Verbindung zu Memorystore for Redis Cluster von KI-Anwendungen aus herstellen

Model Context Protocol (MCP) standardisiert, wie Large Language Models (LLMs) und KI-Anwendungen oder -Agenten eine Verbindung zu externen Datenquellen herstellen. Mit MCP-Servern können Sie ihre Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten von ihrem Back-End-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server

werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standardeingabe- und ‑ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.

Remote-MCP-Server

werden in der Infrastruktur des Dienstes ausgeführt und bieten einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Google- und Google Cloud Remote-MCP-Server

• Vereinfachte, zentrale Erkennung
• Verwaltete globale oder regionale HTTP-Endpunkte
• Detaillierte Autorisierung
• Optionale Prompt- und Antwortsicherheit mit Model Armor-Schutz
• Zentralisierte Audit-Protokollierung

Informationen zu anderen MCP-Servern und zu Sicherheits und Governance-Kontrollen, die für Google Cloud-MCP-Server verfügbar sind, finden Sie unter Übersicht über Google Cloud-MCP-Server.

Hinweis

Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto haben Google Cloud, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis Cluster API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis Cluster API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installieren Sie die Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem Sie den MCP-Server von Memorystore for Redis Cluster verwenden möchten, um die Berechtigungen zu erhalten, die Sie zur Verwendung des MCP-Servers von Memorystore for Redis Cluster benötigen:

• MCP-Toolaufrufe ausführen: MCP Tool User (roles/mcp.toolUser)
• Cluster in Memorystore for Redis Cluster erstellen: Redis Admin (roles/redis.admin)
• Cluster abrufen oder alle Cluster in einem Projekt auflisten: Redis Viewer (roles/redis.viewer)
• Richtlinien zur Dienstnutzung verwalten: Service Usage-Administrator (roles/serviceusage.serviceUsageAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Verwendung des MCP-Servers von Memorystore for Redis Cluster erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Authentifizierung und Autorisierung

MCP-Server von Memorystore for Redis Cluster verwenden das OAuth 2.0 -Protokoll mit Identity and Access Management (IAM) zur Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server von Memorystore for Redis Cluster akzeptiert API-Schlüssel.

Wir empfehlen, eine separate Identität für Agenten zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Bei Google und Google Cloud MCP-Servern authentifizieren.

OAuth-Bereich für den MCP-Server von Memorystore for Redis Cluster

OAuth 2.0 verwendet einen Bereich und Anmeldedaten, um zu ermitteln, ob ein authentifizierter Prinzipal autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Memorystore for Redis Cluster hat den folgenden OAuth-Bereich für MCP-Tools:

MCP-Client für die Verwendung des MCP-Servers von Memorystore for Redis Cluster konfigurieren

KI-Anwendungen und ‑Agenten wie Claude oder Antigravity können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Wenn Ihre Anwendung nicht in der clientspezifischen Anleitung aufgeführt ist, können Sie die folgenden Informationen verwenden, um eine Verbindung von den meisten Anwendungen herzustellen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, einen Remote-MCP-Server hinzuzufügen oder eine Verbindung zu ihm herzustellen. Geben Sie für den MCP-Server von Memorystore for Redis Cluster die folgenden Informationen nach Bedarf ein:

• Servername: MCP-Server von Memorystore for Redis Cluster
• Server-URL oder Endpunkt: https://redis.googleapis.com/mcp
• Transport: HTTP
• Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Anmeldedaten, Ihre OAuth-Client-ID und Ihr Secret oder eine Agentenidentität und ‑anmeldedaten eingeben. Google Cloud Weitere Informationen zur Authentifizierung finden Sie unter Bei Google und Google Cloud MCP-Servern authentifizieren.
• OAuth-Bereich: Der OAuth 2.0-Bereich, den Sie verwenden möchten, wenn Sie eine Verbindung zum MCP-Server von Memorystore for Redis Cluster herstellen.

Anwendungsspezifische Anleitungen zum Einrichten und Herstellen einer Verbindung zu einem MCP-Server finden Sie unter Clientspezifische Anleitung.

Allgemeinere Anleitungen finden Sie in den folgenden Ressourcen:

• Mit Remote-MCP-Servern verbinden.
• MCP in einer KI-Anwendung konfigurieren.

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den MCP-Server von Memorystore for Redis Cluster finden Sie in der MCP-Referenz für Memorystore for Redis Cluster.

Tools auflisten

Verwenden Sie den MCP Inspector, um Tools aufzulisten, oder senden Sie eine tools/list HTTP-Anfrage direkt an den Remote-MCP-Server von Memorystore for Redis Cluster. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Im Folgenden finden Sie Beispiele für Anwendungsfälle für den MCP-Server von Memorystore for Redis Cluster:

„Warum erstellen Sie einen regionalen Cluster mit aktivierter IAM-Authentifizierung?“

Durch das Erstellen dieser Art von Cluster werden statische Passwörter durch zentrale, kurzlebige Anmeldedaten für hochsichere, regionale Arbeitslasten ersetzt. Der KI-Agent des MCP-Servers von Memorystore for Redis Cluster verwendet das MCP-Tool create_cluster, um den Cluster zu erstellen.

„Warum sehen Sie sich alle aktiven Cluster in einer bestimmten Region an?“

Wenn Sie diese Cluster auflisten, können Sie sicherstellen, dass die Ressourcen Ihrer aktuellen Architektur entsprechen. Der KI-Agent des MCP-Servers von Memorystore for Redis Cluster verwendet das MCP-Tool list_clusters, um eine formatierte Liste der Cluster in der angegebenen Region abzurufen.

„Warum rufen Sie Verbindungsendpunkte und Betriebsmetadaten aus einem Cluster in einer bestimmten Region ab?“

Sie benötigen diese Informationen für die Anwendungsintegration und die Systemwartung. Der KI-Agent des MCP-Servers von Memorystore for Redis Cluster verwendet das MCP-Tool get_cluster, um Informationen zum Cluster abzurufen, z. B. den Erkennungsendpunkt, die Anzahl der Shards und die Anzahl der Replikate.

„Wie können Sie Memorystore for Redis Cluster für Ihre datenintensiven Anwendungen optimieren?“

Um sowohl die CPU-Kapazität als auch den Speicherdurchsatz für diese Anwendungen erheblich zu steigern, können Sie einen Cluster skalieren, indem Sie die Anzahl der Shards des Clusters erhöhen. Der KI-Agent des MCP-Servers von Memorystore for Redis Cluster verwendet das MCP-Tool update_cluster, um die Anzahl der Shards für den Cluster zu aktualisieren.

„Wie können Sie Ihre Daten vor Fehlern schützen, die entweder durch einen Cluster oder die Region, in der er sich befindet, verursacht werden können?“

Erstellen Sie eine Sicherung des Clusters. Wenn ein regionaler oder Clusterfehler auftritt, können Sie Ihre Daten in einem neuen Cluster wiederherstellen, um den Betrieb fortzusetzen. Der KI-Agent des MCP-Servers von Memorystore for Redis Cluster verwendet das MCP-Tool backup_cluster, um eine Sicherung des Clusters zu erstellen.

Optionale Sicherheitskonfigurationen

MCP birgt neue Sicherheitsrisiken und ‑aspekte, da Sie mit den MCP-Tools eine Vielzahl von Aktionen ausführen können. Um diese Risiken zu minimieren und zu verwalten, Google Cloud bietet Google Cloud Standardeinstellungen und anpassbare Richtlinien, um die Verwendung von MCP-Tools in Ihrer Google Cloud Organisation oder Ihrem Projekt zu steuern.

Weitere Informationen zu MCP-Sicherheit und ‑Governance finden Sie unter KI-Sicherheit.

Model Armor verwenden

Model Armor ist ein Google Cloud Dienst, der die Sicherheit und Sicherheit Ihrer KI-Anwendungen verbessern soll. Dazu werden LLM-Prompts und ‑Antworten proaktiv geprüft, um vor verschiedenen Risiken zu schützen und verantwortungsbewusste KI-Praktiken zu unterstützen. Unabhängig davon, ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen, kann Model Armor Ihnen helfen, böswillige Eingaben zu verhindern, die Sicherheit von Inhalten zu überprüfen, sensible Daten zu schützen, die Compliance einzuhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchzusetzen.

Wenn Model Armor mit aktivierter Protokollierung aktiviert ist, protokolliert Model Armor die gesamte Nutzlast. Dadurch können sensible Informationen in Ihren Logs offengelegt werden.

Model Armor aktivieren

Sie müssen die Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Um Ihre MCP-Toolaufrufe und ‑Antworten zu schützen, können Sie die Mindesteinstellungen für Model Armor verwenden. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Toolaufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Model Armor-Mindesteinstellung mit aktivierter MCP-Bereinigung ein. Weitere Informationen finden Sie unter Mindesteinstellungen für Model Armor konfigurieren.

Sehen Sie sich den folgenden Beispielbefehl an:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID Ihres Projekts.

Beachten Sie die folgenden Einstellungen:

• INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google-MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
• ENABLED: Die Einstellung, mit der ein Filter oder Erzwingung aktiviert wird.
• MEDIUM_AND_ABOVE: Das Konfidenzniveau für die Filtereinstellungen „Verantwortungsbewusste Anwendung von KI – gefährlich“. Sie können diese Einstellung ändern, niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Konfidenzniveaus von Model Armor.

Prüfung des MCP-Traffics mit Model Armor deaktivieren

Wenn Sie verhindern möchten, dass Model Armor den Traffic zu und von Google-MCP-Servern automatisch anhand der Mindesteinstellungen des Projekts prüft, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt ID. Model Armor wendet die in den Mindesteinstellungen dieses Projekts definierten Regeln nicht automatisch auf den Traffic von Google-MCP-Servern an.

Die Mindesteinstellungen und die allgemeine Konfiguration von Model Armor können sich auf mehr als nur MCP auswirken. Da Model Armor in Dienste wie Vertex AI eingebunden ist, können sich alle Änderungen, die Sie an den Mindesteinstellungen vornehmen, auf die Traffic-Prüfung und das Sicherheitsverhalten aller eingebundenen Dienste auswirken, nicht nur auf MCP.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

Mit IAM-Ablehnungsrichtlinien (Identity and Access Management) können Sie Remote-MCP-Server besser schützen. Google Cloud Konfigurieren Sie diese Richtlinien, um den unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise anhand der folgenden Kriterien ablehnen oder zulassen:

• Der Prinzipal
• Toolattribute wie „Schreibgeschützt“
• Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit IAM steuern.