Se connecter à Memorystore for Redis Cluster depuis des applications d'IA à l'aide du serveur MCP distant

Le protocole MCP (Model Context Protocol) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, leurs ressources et leurs prompts pour effectuer des actions et obtenir des données mises à jour à partir de leur service backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux

S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.

Serveurs MCP distants

S'exécutent sur l'infrastructure du service et proposent un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez la section Architecture MCP.

Serveurs MCP Google et Google Cloud distants

• Découverte centralisée et simplifiée
• Points de terminaison HTTP mondiaux ou régionaux gérés
• Autorisations précises
• Sécurité facultative des prompts et des réponses avec la protection Model Armor
• Journalisation d'audit centralisée

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez la présentation des serveurs MCP Google Cloud.

Avant de commencer

Connectez-vous à votre Google Cloud compte. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis Cluster API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installez la Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis Cluster API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installez la Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP Memorystore for Redis Cluster, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP Memorystore for Redis Cluster :

• Effectuer des appels d'outils MCP: utilisateur de l'outil MCP (roles/mcp.toolUser)
• Créer un cluster dans Memorystore for Redis Cluster: administrateur Redis (roles/redis.admin)
• Obtenir un cluster ou répertorier tous les clusters d'un projet: lecteur Redis (roles/redis.viewer)
• Gérer les règles d'utilisation des services: administrateur de Service Usage (roles/serviceusage.serviceUsageAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP Memorystore for Redis Cluster. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Les serveurs MCP Memorystore for Redis Cluster utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes Google Cloud les identités sont compatibles avec l'authentification auprès des serveurs MCP.

Le serveur MCP distant Memorystore for Redis Cluster accepte les clés API.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent des outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l' authentification, consultez la section S'authentifier auprès de Google et Google Cloud des serveurs MCP.

Champ d'application OAuth du serveur MCP Memorystore for Redis Cluster

OAuth 2.0 utilise un champ d'application et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 dans Google, consultez la page Utiliser OAuth 2.0 pour accéder aux API Google.

Memorystore for Redis Cluster possède le champ d'application OAuth suivant pour les outils MCP :

Configurer un client MCP pour utiliser le serveur MCP Memorystore for Redis Cluster

Les applications et agents d'IA, tels que Claude ou Antigravity, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Si votre application ne figure pas dans les conseils spécifiques au client, vous pouvez utiliser les informations suivantes pour vous connecter à partir de la plupart des applications.

Dans votre application d'IA, recherchez un moyen d'ajouter un serveur MCP distant ou de vous y connecter. Pour le serveur MCP Memorystore for Redis Cluster, saisissez les informations suivantes, si nécessaire :

• Nom du serveur : serveur MCP Memorystore for Redis Cluster
• URL du serveur ou Point de terminaison : https://redis.googleapis.com/mcp
• Transport: HTTP
• Informations d'authentification : selon la méthode d'authentification souhaitée, vous pouvez saisir vos Google Cloud identifiants, votre ID client OAuth et votre code secret, ou une identité et des identifiants d'agent. Pour en savoir plus sur l'authentification, consultez la section S'authentifier auprès de Google et Google Cloud des serveurs MCP.
• Champ d'application OAuth : champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP Memorystore for Redis Cluster.

Pour obtenir des conseils spécifiques à l'application sur la configuration et la connexion au serveur MCP, consultez la section Conseils spécifiques au client.

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

• Se connecter à des serveurs MCP distants.
• Configurer MCP dans une application d'IA.

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Memorystore for Redis Cluster, consultez la documentation de référence sur le serveur MCP Memorystore for Redis Cluster.

Répertorier les outils

Utilisez l'inspecteur MCP pour répertorier les outils ou envoyez directement une requête HTTP tools/list au serveur MCP distant Memorystore for Redis Cluster. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP Memorystore for Redis Cluster :

"Pourquoi créer un cluster régional avec l'authentification IAM activée ?"

La création de ce type de cluster élimine les mots de passe statiques au profit d'identifiants centralisés et éphémères pour les charges de travail régionales hautement sécurisées. L'agent d'IA du serveur MCP Memorystore for Redis Cluster utilise l'outil MCP create_cluster pour créer le cluster.

"Pourquoi afficher tous les clusters actifs dans une région spécifique ?"

En répertoriant ces clusters, vous pouvez vous assurer que les ressources correspondent à votre architecture actuelle. L'agent d'IA du serveur MCP Memorystore for Redis Cluster utilise l'outil MCP list_clusters pour récupérer une liste formatée des clusters dans la région spécifiée.

"Pourquoi récupérer les points de terminaison de connexion et les métadonnées opérationnelles d'un cluster dans une région spécifique ?"

Vous avez besoin de ces informations pour l'intégration d'applications et la maintenance du système. L'agent d'IA du serveur MCP Memorystore for Redis Cluster utilise l'outil MCP get_cluster pour récupérer des informations sur le cluster, telles que son point de terminaison de découverte, le nombre de fragments et le nombre d'instances répliquées.

"Comment optimiser Memorystore for Redis Cluster pour vos applications gourmandes en données ?"

Pour augmenter considérablement la capacité du processeur et le débit de la mémoire de ces applications, vous pouvez faire évoluer un cluster en augmentant le nombre de fragments du cluster. L'agent d'IA du serveur MCP Memorystore for Redis Cluster utilise l'outil MCP update_cluster pour mettre à jour le nombre de fragments du cluster.

"Comment protéger vos données contre les défaillances qui peuvent survenir à partir d'un cluster ou de la région dans laquelle il se trouve ?"

Créez une sauvegarde du cluster. En cas de défaillance régionale ou de cluster, vous pouvez restaurer vos données dans un nouveau cluster pour reprendre vos opérations. L'agent d'IA du serveur MCP Memorystore for Redis Cluster utilise l'outil MCP backup_cluster pour créer une sauvegarde du cluster.

Configurations de sécurité facultatives

Le protocole MCP introduit de nouveaux risques et considérations de sécurité en raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP. Pour minimiser et gérer ces risques, Google Cloud propose des paramètres par défaut et des règles personnalisables pour contrôler l'utilisation des outils MCP dans votre Google Cloud organisation ou projet.

Pour en savoir plus sur la sécurité et la gouvernance du protocole MCP, consultez la section Sécurité et sûreté de l'IA.

Utiliser Model Armor

Model Armor est un Google Cloud service conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les prompts et les réponses des LLM, en protégeant contre divers risques et en favorisant des pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou auprès de fournisseurs de cloud externes, Model Armor peut vous aider à éviter les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à assurer la conformité et à appliquer vos règles de sécurité de l'IA de manière cohérente dans votre paysage d'IA diversifié.

Lorsque Model Armor est activé avec la journalisation, il enregistre l'intégralité de la charge utile. Cela peut exposer des informations sensibles dans vos journaux.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger vos appels et réponses d'outils MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre de plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez la section Configurer les paramètres de plancher Model Armor settings.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID du Google Cloud projet.

Notez les paramètres suivants :

• INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les prompts et les réponses qui correspondent aux filtres.
• ENABLED : paramètre qui active un filtre ou une application.
• MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres de filtre "IA responsable - Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs inférieures peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez la section Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Pour empêcher Model Armor d'analyser automatiquement le trafic vers et depuis les serveurs MCP Google en fonction des paramètres de plancher du projet, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l' Google Cloud ID du projet. Model Armor n'applique pas automatiquement les règles définies dans les paramètres de plancher de ce projet au trafic des serveurs MCP Google.

Les paramètres de plancher et la configuration générale de Model Armor peuvent avoir un impact qui va au-delà du protocole MCP. Étant donné que Model Armor s'intègre à des services tels que Vertex AI, toute modification apportée aux paramètres de plancher peut affecter l'analyse du trafic et les comportements de sécurité dans tous les services intégrés, et pas seulement dans le protocole MCP.

Contrôler l'utilisation du protocole MCP avec les règles de refus IAM

Les règles de refus Identity and Access Management (IAM) vous aident à sécuriser Google Cloud les serveurs MCP distants. Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des éléments suivants :

• Le compte principal
• Les propriétés de l'outil, telles que la lecture seule
• L'ID client OAuth de l'application

Pour en savoir plus, consultez la section Contrôler l'utilisation du protocole MCP avec Identity and Access Management.