התחברות ל-Memorystore for Redis Cluster מאפליקציות AI באמצעות שרת MCP מרוחק

במאמר הזה נסביר איך להשתמש בשרת Model Context Protocol‏ (MCP) מרוחק של Memorystore for Redis Cluster כדי להתחבר לאפליקציות מבוססות-AI, כולל Gemini CLI, ‏ ChatGPT, ‏ Claude ואפליקציות מותאמות אישית שאתם מפתחים. שרת ה-MCP המרוחק של Memorystore for Redis Cluster מאפשר לכם לנהל אשכולות וגיבויים ב-Memorystore for Redis Cluster מתוך סביבות פיתוח מבוססות-AI ופלטפורמות של סוכני AI. שרת ה-MCP המרוחק של Memorystore for Redis Cluster מופעל כשמפעילים את Memorystore for Redis Cluster API.

Model Context Protocol‏ (MCP) הוא תקן שקובע איך מודלים גדולים של שפה (LLM) ואפליקציות או סוכני AI מתחברים למקורות נתונים חיצוניים. שרתי MCP מאפשרים לכם להשתמש בכלים, במשאבים ובהנחיות שלהם כדי לבצע פעולות ולקבל נתונים מעודכנים משירות הקצה העורפי שלהם.

מה ההבדל בין שרתי MCP מקומיים לבין שרתי MCP מרחוק?

שרתי MCP מקומיים
בדרך כלל פועלים במחשב המקומי ומשתמשים בזרמי הקלט והפלט הרגילים (stdio) לתקשורת בין שירותים באותו מכשיר.
שרתי MCP מרוחקים
פועל בתשתית של השירות ומציע נקודת קצה של HTTP לאפליקציות AI לצורך תקשורת בין לקוח ה-MCP של ה-AI לבין שרת ה-MCP. מידע נוסף על ארכיטקטורת MCP זמין במאמר ארכיטקטורת MCP.

‫Google ושרתי MCP מרוחקים Google Cloud

לשרתי MCP מרוחקים ולשרתי MCP של Google יש את התכונות והיתרונות הבאים: Google Cloud

  • גילוי פשוט ומרכזי
  • נקודות קצה (endpoints) מנוהלות של HTTP ברמה הגלובלית או האזורית
  • הרשאות פרטניות
  • אבטחת הנחיות ותשובות אופציונלית באמצעות הגנה מוגברת על המודל
  • רישום מרכזי ביומן הביקורת

מידע על שרתים אחרים של MCP ועל אמצעי בקרה בנושאי אבטחה וממשל שזמינים לשרתים של Google Cloud MCP מופיע במאמר סקירה כללית על שרתים של Google Cloud MCP.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Memorystore for Redis Cluster API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. התקינו את ה-CLI של Google Cloud.

  6. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  7. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Memorystore for Redis Cluster API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. התקינו את ה-CLI של Google Cloud.

  12. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  13. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לשימוש בשרת ה-MCP של Memorystore for Redis Cluster, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט שבו אתם רוצים להשתמש בשרת ה-MCP של Memorystore for Redis Cluster:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה מכילים את ההרשאות שנדרשות לשימוש בשרת MCP של Memorystore for Redis Cluster. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

כדי להשתמש בשרת MCP של Memorystore for Redis Cluster, נדרשות ההרשאות הבאות:

  • כדי לקבל מידע על מדיניות השימוש בשירות: serviceusage.mcppolicy.get
  • עדכון של מדיניות שימוש בשירות: serviceusage.mcppolicy.update
  • התקשרות לכלי ה-MCP: mcp.tools.call
  • יצירת אשכול: redis.clusters.create
  • הצגת רשימה של אשכולות: redis.clusters.list
  • קבלת מידע על אשכול: redis.clusters.get
  • שכפול של אשכול: redis.clusters.create
  • כדי לעדכן אשכול: redis.clusters.update
  • גיבוי של אשכול: redis.clusters.backup
  • כדי למחוק אשכול: redis.clusters.delete
  • יצירת משתמש: redis.users.create
  • רשימת משתמשים: redis.users.list
  • כדי לקבל מידע על משתמש: redis.users.get
  • עדכון משתמש: redis.users.update
  • מחיקת משתמש: redis.users.delete

יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

אימות והרשאה

שרתי ה-MCP של Memorystore for Redis Cluster משתמשים בפרוטוקול OAuth 2.0 עם ניהול זהויות והרשאות גישה (IAM) לאימות ולמתן הרשאות. כל Google Cloud הזהויות נתמכות לצורך אימות לשרתי MCP.

שרת ה-MCP המרוחק של Memorystore for Redis Cluster מקבל מפתחות API.

אנחנו ממליצים ליצור זהות נפרדת לסוכנים באמצעות כלי MCP, כדי שתוכלו לשלוט בגישה למשאבים ולעקוב אחריה. למידע נוסף על אימות, אפשר לעיין במאמר בנושא אימות לשרתי Google ו- Google Cloud MCP.

היקף הרשאת OAuth של Memorystore for Redis Cluster MCP

ב-OAuth 2.0 משתמשים בהיקף הרשאות ובפרטי כניסה כדי לקבוע אם לחשבון ראשי מאומת יש הרשאה לבצע פעולה ספציפית במשאב. למידע נוסף על היקפי הרשאות OAuth 2.0 ב-Google, אפשר לקרוא את המאמר שימוש ב-OAuth 2.0 לגישה ל-Google APIs.

ל-Memorystore for Redis Cluster יש את היקף ההרשאות הבא של OAuth בכלי MCP:

‫URI של היקף תיאור
https://www.googleapis.com/auth/redis.read-write יצירה, הצגה ברשימה, גיבוי, עדכון ומחיקה של אשכולות.

הגדרת לקוח MCP לשימוש בשרת MCP של Memorystore for Redis Cluster

אפליקציות וסוכנים מבוססי-AI, כמו Claude או Antigravity, יכולים ליצור מופע של לקוח MCP שמתחבר לשרת MCP יחיד. לאפליקציית AI יכולים להיות כמה לקוחות שמתחברים לשרתי MCP שונים. אם האפליקציה שלכם לא מופיעה בהנחיות הספציפיות ללקוח, תוכלו להשתמש במידע הבא כדי להתחבר מרוב האפליקציות.

באפליקציית ה-AI, מחפשים דרך להוסיף או להתחבר לשרת MCP מרוחק. בשרת Memorystore for Redis Cluster MCP, מזינים את הפרטים הבאים לפי הצורך:

  • שם השרת: שרת ה-MCP של Memorystore for Redis Cluster
  • כתובת URL של השרת או נקודת קצה: https://redis.googleapis.com/mcp
  • Transport: HTTP
  • פרטי אימות: בהתאם לשיטת האימות שרוצים להשתמש בה, אפשר להזין את Google Cloud פרטי הכניסה, את מזהה הלקוח והסוד של OAuth, או את הזהות ופרטי הכניסה של סוכן. למידע נוסף על אימות, אפשר לעיין במאמר בנושא אימות לשרתי Google ו- Google Cloud MCP.
  • היקף OAuth: היקף OAuth 2.0 שרוצים להשתמש בו כשמתחברים לשרת ה-MCP של Memorystore for Redis Cluster.

הנחיות ספציפיות לאפליקציות לגבי הגדרה וחיבור לשרת MCP מפורטות במאמר הנחיות ספציפיות ללקוחות.

הנחיות כלליות נוספות זמינות במקורות המידע הבאים:

כלים זמינים

כדי לראות את הפרטים של כלי MCP זמינים ואת התיאורים שלהם עבור שרת ה-MCP של Memorystore for Redis Cluster, אפשר לעיין בהפניה ל-MCP של Memorystore for Redis Cluster.

כלים ליצירת רשימות

אפשר להשתמש בכלי הבדיקה של MCP כדי להציג רשימה של כלים, או לשלוח בקשת HTTP tools/list ישירות לשרת MCP המרוחק של Memorystore for Redis Cluster. בשיטה tools/list לא נדרש אימות.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

תרחישים לדוגמה

אלה דוגמאות לתרחישי שימוש בשרת MCP של Memorystore for Redis Cluster:

"למה כדאי ליצור אשכול אזורי עם אימות IAM מופעל?"

יצירת אשכול מהסוג הזה מבטלת את הצורך בסיסמאות סטטיות, ומאפשרת שימוש בפרטי כניסה מרכזיים לזמן קצר, כדי לאבטח עומסי עבודה אזוריים ברמה גבוהה. סוכן ה-AI של שרת ה-MCP של Memorystore for Redis Cluster משתמש בכלי create_cluster MCP כדי ליצור את האשכול.

"למה אתה רואה את כל האשכולות הפעילים באזור מסוים?"

הצגת הרשימה של האשכולות מאפשרת לוודא שהמשאבים תואמים לארכיטקטורה הנוכחית. סוכן ה-AI של שרת ה-MCP של Memorystore for Redis Cluster משתמש בכלי list_clusters MCP כדי לאחזר רשימה מפורמטת של אשכולות באזור שצוין.

"למה אתה מאחזר נקודות קצה של חיבורים ומטא-נתונים תפעוליים מאשכול באזור ספציפי?"

המידע הזה נחוץ לשילוב האפליקציה ולתחזוקת המערכת. סוכן ה-AI של שרת ה-MCP של Memorystore for Redis Cluster משתמש בכלי MCP‏ get_cluster כדי לאחזר מידע על האשכול, כמו נקודת הקצה של הגילוי, מספר הרסיסים ומספר העותקים המשוכפלים.

"איך אפשר לבצע אופטימיזציה של Memorystore for Redis Cluster עבור אפליקציות עתירות נתונים?"

כדי להגדיל באופן משמעותי את קיבולת המעבד ואת קצב העברת הנתונים בזיכרון של האפליקציות האלה, אפשר לשנות את גודל האשכול על ידי הגדלת מספר הרסיסים באשכול. סוכן ה-AI של שרת ה-MCP של Memorystore for Redis Cluster משתמש בכלי ה-MCP‏ update_cluster כדי לעדכן את מספר הרסיסים של האשכול.

"איך אפשר להגן על הנתונים מפני כשלים שעלולים להתרחש באשכול או באזור שבו הוא ממוקם?"

יוצרים גיבוי של האשכול. אם מתרחשת תקלה אזורית או תקלה באשכול, תוכלו לשחזר את הנתונים לאשכול חדש כדי להמשיך את הפעולות. סוכן ה-AI של שרת ה-MCP של Memorystore for Redis Cluster משתמש בכלי ה-MCP כדי ליצור גיבוי של האשכול.backup_cluster

הגדרות אבטחה ובטיחות אופציונליות

השימוש ב-MCP מציג סיכוני אבטחה חדשים ושיקולים חדשים בגלל המגוון הרחב של הפעולות שאפשר לבצע באמצעות הכלים של MCP. כדי למזער את הסיכונים האלה ולנהל אותם,Google Cloud מציע הגדרות ברירת מחדל ומדיניות שניתנת להתאמה אישית כדי לשלוט בשימוש בכלי MCP בארגון או בפרויקט שלכם ב- Google Cloud.

מידע נוסף על אבטחה וניהול של MCP זמין במאמר בנושא אבטחה ובטיחות של AI.

שימוש בהגנה מוגברת על המודל

הגנה מוגברת על המודל הואGoogle Cloud שירות שנועד לשפר את האבטחה והבטיחות של אפליקציות ה-AI שלכם. הוא פועל על ידי סינון יזום של הנחיות ותגובות של מודלים גדולים של שפה (LLM), הגנה מפני סיכונים שונים ותמיכה בשיטות לפיתוח אחראי של AI. בין אם אתם פורסים AI בסביבת הענן שלכם או אצל ספקי שירותי ענן חיצוניים, הגנה מוגברת על המודל יכול לעזור לכם למנוע קלט זדוני, לאמת את בטיחות התוכן, להגן על מידע אישי רגיש, לשמור על תאימות ולאכוף את מדיניות הבטיחות והאבטחה של ה-AI באופן עקבי בסביבת ה-AI המגוונת שלכם.

כשמפעילים את הגנה מוגברת על המודל עם הפעלת רישום ביומן, הגנה מוגברת על המודל רושמת ביומן את כל מטען הייעודי (payload). יכול להיות שמידע רגיש ייחשף ביומנים.

הפעלת הגנה מוגברת על המודל

כדי להשתמש ב-Model Armor, צריך להפעיל את ממשקי ה-API של Model Armor.

המסוף

  1. מפעילים את הגנה מוגברת על המודל API.

    תפקידים שנדרשים להפעלת ממשקי API

    כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

    להפעלת ה-API

  2. בוחרים את הפרויקט שבו רוצים להפעיל את הגנה מוגברת על המודל.

gcloud

לפני שמתחילים, צריך לבצע את השלבים הבאים באמצעות Google Cloud CLI עם Model Armor API:

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  2. מריצים את הפקודה הבאה כדי להגדיר את נקודת קצה ל-API לשירות הגנה מוגברת על המודל.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    מחליפים את LOCATION באזור שבו רוצים להשתמש בהגנה מוגברת על המודל.

הגדרת הגנה לשרתי MCP של Google ושרתי MCP מרוחקים Google Cloud

כדי להגן על הקריאות והתשובות של כלי ה-MCP, אפשר להשתמש בהגדרות סף של Model Armor. הגדרת סף מגדירה את מסנני האבטחה המינימליים שחלים על הפרויקט. ההגדרה הזו מחילה קבוצה עקבית של מסננים על כל הקריאות והתשובות של כלי ה-MCP בפרויקט.

מגדירים הגדרת רמת בסיס של הגנה מוגברת על המודל עם הפעלת ניקוי נתונים של MCP. מידע נוסף זמין במאמר בנושא הגדרת רמות בסיס של הגנה מוגברת על המודל.

דוגמה לפקודה:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

מחליפים את PROJECT_ID במזהה הפרויקט ב- Google Cloud .

שימו לב להגדרות הבאות:

  • INSPECT_AND_BLOCK: סוג האכיפה שבודק את התוכן בשרת MCP של Google וחוסם הנחיות ותשובות שתואמות למסננים.
  • ENABLED: ההגדרה שמפעילה מסנן או אכיפה.
  • MEDIUM_AND_ABOVE: רמת הסמך להגדרות של המסנן 'אתיקה של בינה מלאכותית – מסוכן'. אפשר לשנות את ההגדרה הזו, אבל ערכים נמוכים יותר עלולים להוביל ליותר תוצאות חיוביות שגויות. מידע נוסף זמין במאמר בנושא רמות הסמך של הגנה מוגברת על המודל.

השבתת סריקת תעבורת נתונים של MCP באמצעות Model Armor

כדי להפסיק את הסריקה האוטומטית של תעבורת נתונים אל השרתים של Google MCP וממנה על ידי הגנה מוגברת על המודל על סמך הגדרות אבטחה מינימליות של הפרויקט, מריצים את הפקודה הבאה:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

מחליפים את PROJECT_ID במזהה הפרויקט Google Cloud . המערכת Model Armor לא מחילה באופן אוטומטי את הכללים שמוגדרים בהגדרות של רמת הרצפה בפרויקט הזה על תעבורה של שרת Google MCP.

ההגדרות של הסף התחתון של Model Armor וההגדרה הכללית יכולות להשפיע על יותר דברים מאשר רק על MCP. ‫Model Armor משולב עם שירותים כמו Vertex AI, ולכן כל שינוי שתבצעו בהגדרות של רמת הרצפה יכול להשפיע על סריקת התנועה ועל התנהגויות הבטיחות בכל השירותים המשולבים, ולא רק ב-MCP.

שליטה בשימוש ב-MCP באמצעות כללי מדיניות דחייה ב-IAM

כללי מדיניות הדחייה של ניהול זהויות והרשאות גישה (IAM) עוזרים לכם לאבטח שרתי MCP מרוחקים של Google Cloud . כדאי להגדיר את המדיניות הזו כדי לחסום גישה לא רצויה לכלי MCP.

לדוגמה, אתם יכולים לדחות או לאשר גישה על סמך:

  • הקרן
  • מאפייני כלי כמו קריאה בלבד
  • מזהה הלקוח ב-OAuth של האפליקציה

מידע נוסף זמין במאמר שליטה בשימוש ב-MCP באמצעות ניהול זהויות וגישה.