Conéctate a Memorystore para Redis desde aplicaciones de IA con el servidor de MCP remoto

En este documento, se muestra cómo usar el servidor remoto del Protocolo de contexto del modelo (MCP) de Memorystore para Redis para conectarse con aplicaciones de IA, incluidas la CLI de Gemini, ChatGPT, Claude y las aplicaciones personalizadas que desarrolles. El servidor MCP remoto de Memorystore para Redis te permite administrar instancias de Memorystore para Redis desde tus entornos de desarrollo habilitados para IA y plataformas de agentes de IA.

El estándar del Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o los agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.

¿Cuál es la diferencia entre los servidores de MCP locales y remotos?

Servidores de MCP locales

Por lo general, se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre servicios en el mismo dispositivo.

Servidores MCP remotos

Se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.

Servidores de MCP remotos y de Google Cloud Google

• Descubrimiento simplificado y centralizado
• Extremos HTTP administrados globales o regionales
• Autorización detallada
• Seguridad opcional de instrucciones y respuestas con la protección de Model Armor.
• Registro de auditoría centralizado

Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y gobernanza disponibles para los servidores de MCP de Google Cloud, consulta la descripción general de los servidores de MCP de Google Cloud.

Antes de comenzar

Accede a tu cuenta de Google Cloud . Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Roles obligatorios

Para obtener los permisos que necesitas para usar el servidor de MCP de Memorystore para Redis, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que deseas usar el servidor de MCP de Memorystore para Redis:

• Realiza llamadas a la herramienta de MCP: Usuario de la herramienta de MCP (roles/mcp.toolUser)
• Crea una instancia de Memorystore para Redis: Administrador de Cloud Memorystore para Redis (roles/redis.admin)
• Obtén una instancia de Memorystore para Redis o enumera todas las instancias de Memorystore para Redis en un proyecto: Visualizador de Redis para Cloud Memorystore (roles/redis.viewer)
• Administrar políticas de uso del servicio: Administrador de Service Usage (roles/serviceusage.serviceUsageAdmin)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar el servidor de MCP de Memorystore para Redis. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Autenticación y autorización

Los servidores de MCP de Memorystore para Redis usan el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en los servidores de MCP.

El servidor MCP remoto de Memorystore para Redis acepta claves de API.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de Google y de MCP. Google Cloud

Alcance de OAuth de MCP de Memorystore para Redis

OAuth 2.0 usa un alcance y credenciales para determinar si un principal autenticado está autorizado a realizar una acción específica en un recurso. Si deseas obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Usa OAuth 2.0 para acceder a las APIs de Google.

Memorystore para Redis tiene el siguiente alcance de OAuth de la herramienta de MCP:

Configura un cliente de MCP para que use el servidor de MCP de Memorystore para Redis

Las aplicaciones y los agentes de IA, como Claude o Gemini CLI, pueden crear una instancia de un cliente de MCP que se conecte a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conectan a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer, como mínimo, la URL del servidor de MCP remoto.

En tu aplicación de IA, busca una forma de conectarte a un servidor de MCP remoto. Se te pedirá que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP de Memorystore para Redis, ingresa lo siguiente según sea necesario:

• Nombre del servidor: Servidor de MCP de Memorystore para Redis
• URL del servidor o Extremo: https://redis.googleapis.com/mcp
• Transporte: HTTP
• Detalles de autenticación: Según cómo desees autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID y secreto de cliente de OAuth, o bien la identidad y las credenciales de un agente. Para obtener más información sobre la autenticación, consulta Cómo autenticarse en los servidores de Google y Google Cloud MCP.
• Permiso de OAuth: Es el permiso de OAuth 2.0 que deseas usar cuando te conectes al servidor de MCP de Memorystore para Redis.

Para obtener orientación específica sobre el host, consulta lo siguiente:

• Claude.ai
• CLI de Gemini

Para obtener orientación más general, consulta los siguientes recursos:

• Conéctate a servidores de MCP remotos.
• Configura el MCP en una aplicación de IA.

Herramientas disponibles

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Memorystore para Redis, consulta la referencia de MCP de Memorystore para Redis.

Herramientas de lista

Usa el Inspector de MCP para enumerar herramientas o enviar una solicitud HTTP tools/list directamente al servidor de MCP remoto de Memorystore para Redis. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

A continuación, se muestran ejemplos de casos de uso del servidor de MCP de Memorystore para Redis:

"¿Por qué creas una instancia de Memorystore para Redis con la autenticación habilitada?"

Si creas una instancia y habilitas la función AUTH para ella, las conexiones del cliente entrantes deben autenticarse para conectarse a la instancia. Para conectarse, el cliente envía el comando AUTH y una cadena AUTH, que es una cadena generada de forma aleatoria y única para la instancia. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP create_instance para crear la instancia.

"¿Por qué ves todas las instancias activas de Memorystore para Redis en una región específica?"

Al enumerar estas instancias, puedes asegurarte de que los recursos coincidan con tu arquitectura actual. El agente de IA del servidor MCP de Memorystore para Redis usa la herramienta list_instances de MCP para recuperar una lista con formato de las instancias en la región especificada.

"¿Por qué recuperas extremos de conexión y metadatos operativos de una instancia de Memorystore para Redis en una región específica?"

Necesitas esta información para la integración de aplicaciones y el mantenimiento del sistema. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP get_instance para recuperar información sobre la instancia, como su extremo de descubrimiento y el recuento de réplicas.

"¿Cómo puedes optimizar Memorystore para Redis para tus aplicaciones con uso intensivo de datos?"

Para aumentar significativamente la capacidad de CPU y la capacidad de procesamiento de memoria de estas aplicaciones, puedes escalar una instancia de Memorystore para Redis aumentando el recuento de réplicas de la instancia. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP update_instance para actualizar el recuento de réplicas de la instancia.

"¿Cómo puedes proteger tus datos de las fallas que podrían ocurrir en una instancia de Memorystore para Redis o en la región en la que se encuentra?"

Exporta una instantánea de los datos de tu instancia a un bucket de Cloud Storage. Si se produce una falla regional o de instancia, puedes restablecer tus datos en una instancia nueva para reanudar las operaciones. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP export_instance para exportar tus datos.

Configuraciones opcionales de seguridad

Debido a la gran variedad de acciones que puedes realizar con las herramientas de MCP, esta introduce nuevos riesgos y consideraciones de seguridad. Para minimizar y administrar estos riesgos, Google Cloud ofrece políticas predeterminadas y personalizables para controlar el uso de las herramientas de MCP en tu organización o proyecto de Google Cloud .

Para obtener más información sobre la seguridad y la administración de la MCP, consulta Seguridad y protección de la IA.

Model Armor

Model Armor es un Google Cloud servicio diseñado para mejorar la seguridad de tus aplicaciones de IA. Funciona analizando de forma proactiva las instrucciones y respuestas del LLM, brindando protección contra diversos riesgos y respaldando las prácticas de IA responsable. Ya sea que implementes la IA en tu entorno de nube o en proveedores externos de servicios en la nube, Model Armor puede ayudarte a evitar entradas maliciosas, verificar la seguridad del contenido, proteger los datos sensibles, mantener el cumplimiento y aplicar tus políticas de seguridad de la IA de manera coherente en todo tu diverso panorama de IA.

Model Armor está disponible en ubicaciones regionales específicas. Si habilitas Model Armor para un proyecto y se realiza una llamada a ese proyecto desde una región no admitida, Model Armor realizará una llamada entre regiones. Para obtener más información, consulta Ubicaciones de Model Armor.

Habilita Model Armor

Para poder usar las APIs de Model Armor, debes habilitarlas.

Configura la protección para los servidores de MCP remotos y de Google Cloud Google

Para proteger las llamadas y respuestas de tu herramienta de MCP, puedes usar la configuración de Model Armor Floor. Un parámetro de configuración mínimo define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de las herramientas de MCP dentro del proyecto.

Configura un valor mínimo de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Configura la configuración mínima de Model Armor.

Consulta el siguiente comando de ejemplo:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Reemplaza PROJECT_ID por el ID del proyecto de Google Cloud .

Ten en cuenta los siguientes parámetros de configuración:

• INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y las respuestas que coinciden con los filtros.
• ENABLED: Es el parámetro de configuración que habilita un filtro o la aplicación.
• MEDIUM_AND_ABOVE: Es el nivel de confianza para la configuración del filtro de IA responsable: Peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Niveles de confianza de Model Armor.

Cómo desactivar el análisis del tráfico de MCP con Model Armor

Si deseas dejar de analizar el tráfico de MCP de Google con Model Armor, ejecuta el siguiente comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Reemplaza PROJECT_ID por el ID del proyecto Google Cloud .

Model Armor no analizará el tráfico de MCP en el proyecto.

Controla el uso del MCP con políticas de IAM de rechazo

Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger los Google Cloud servidores MCP remotos. Configura estas políticas para bloquear el acceso no deseado a las herramientas de MCP.

Por ejemplo, puedes rechazar o permitir el acceso según lo siguiente:

• La entidad principal
• Propiedades de herramientas, como solo lectura
• ID de cliente de OAuth de la aplicación

Para obtener más información, consulta Controla el uso de MCP con Identity and Access Management.