Conéctate a Memorystore para Redis desde aplicaciones de IA con el servidor de MCP remoto

En este documento, se muestra cómo usar el servidor de Protocolo de contexto del modelo (MCP) remoto de Memorystore para Redis para conectarte con aplicaciones de IA, incluidas la CLI de Gemini, ChatGPT, Claude y las aplicaciones personalizadas que desarrollas. El servidor de MCP remoto de Memorystore para Redis te permite administrar instancias de Memorystore para Redis desde tus entornos de desarrollo habilitados para IA y plataformas de agentes de IA. El servidor de MCP remoto de Memorystore para Redis se habilita cuando habilitas la API de Memorystore para Redis.

El Protocolo de contexto del modelo (MCP) estandariza la forma en que los modelos de lenguaje grandes (LLM) y las aplicaciones o agentes de IA se conectan a fuentes de datos externas. Los servidores de MCP te permiten usar sus herramientas, recursos y mensajes para realizar acciones y obtener datos actualizados de su servicio de backend.

¿Cuál es la diferencia entre los servidores de MCP locales y remotos?

Servidores de MCP locales
Por lo general, se ejecutan en tu máquina local y usan los flujos de entrada y salida estándar (stdio) para la comunicación entre los servicios en el mismo dispositivo.
Servidores de MCP remotos
Se ejecutan en la infraestructura del servicio y ofrecen un extremo HTTP a las aplicaciones de IA para la comunicación entre el cliente de MCP de IA y el servidor de MCP. Para obtener más información sobre la arquitectura de MCP, consulta Arquitectura de MCP.

Servidores de MCP de Google y Google Cloud remotos

Los servidores de MCP de Google y Google Cloud remotos tienen las siguientes funciones y beneficios:

  • Descubrimiento simplificado y centralizado
  • Extremos HTTP globales o regionales administrados
  • Autorización detallada
  • Seguridad opcional de instrucciones y respuestas con protección de Model Armor
  • Registro de auditoría centralizado

Para obtener información sobre otros servidores de MCP y sobre los controles de seguridad y gobernanza disponibles para los servidores de MCP de Google Cloud, consulta Descripción general de los servidores de MCP de Google Cloud.

Antes de comenzar

  1. Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Memorystore for Redis API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Instala Google Cloud CLI.

  6. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  7. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Memorystore for Redis API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Instala Google Cloud CLI.

  12. Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

  13. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

Roles obligatorios

Para obtener los permisos que necesitas para usar el servidor de MCP de Memorystore para Redis, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto en el que deseas usar el servidor de MCP de Memorystore para Redis:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para usar el servidor de MCP de Memorystore para Redis. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para usar el servidor de MCP de Memorystore para Redis:

  • Obtener información sobre una política de uso del servicio: serviceusage.mcppolicy.get
  • Actualizar una política de uso del servicio: serviceusage.mcppolicy.update
  • Realizar llamadas a herramientas de MCP: mcp.tools.call
  • Crear una instancia de Memorystore para Redis: redis.instances.create
  • Enumerar instancias de Memorystore para Redis: redis.instances.list
  • Obtener información sobre una instancia de Memorystore para Redis: redis.instances.get
  • Actualizar una instancia de Memorystore para Redis: redis.instances.update
  • Importar datos a una instancia de Memorystore para Redis: redis.instances.import
  • Exportar datos de una instancia de Memorystore para Redis: redis.instances.export
  • Borrar una instancia de Memorystore para Redis: redis.instances.delete

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Autenticación y autorización

Los servidores de MCP de Memorystore para Redis usan el protocolo OAuth 2.0 con Identity and Access Management (IAM) para la autenticación y la autorización. Se admiten todas las Google Cloud identidades para la autenticación en servidores de MCP.

El servidor de MCP remoto de Memorystore para Redis acepta claves de API.

Te recomendamos que crees una identidad independiente para los agentes que usan herramientas de MCP, de modo que se pueda controlar y supervisar el acceso a los recursos. Para obtener más información sobre la autenticación, consulta Autenticación en servidores de Google y Google Cloud MCP.

Permiso de OAuth de MCP de Memorystore para Redis

OAuth 2.0 usa un permiso y credenciales para determinar si una entidad autenticada está autorizada para realizar una acción específica en un recurso. Para obtener más información sobre los permisos de OAuth 2.0 en Google, consulta Cómo usar OAuth 2.0 para acceder a las APIs de Google.

Memorystore para Redis tiene el siguiente permiso de OAuth de la herramienta de MCP:

URI del permiso Descripción
https://www.googleapis.com/auth/redis.read-write Crea, enumera, exporta datos de, actualiza, importa datos a y borra instancias.

Configura un cliente de MCP para usar el servidor de MCP de Memorystore para Redis

Las aplicaciones y los agentes de IA, como Claude o la CLI de Gemini, pueden crear una instancia de un cliente de MCP que se conecte a un solo servidor de MCP. Una aplicación de IA puede tener varios clientes que se conecten a diferentes servidores de MCP. Para conectarse a un servidor de MCP remoto, el cliente de MCP debe conocer, como mínimo, la URL del servidor de MCP remoto.

En tu aplicación de IA, busca una forma de conectarte a un servidor de MCP remoto. Se te solicitará que ingreses detalles sobre el servidor, como su nombre y URL.

Para el servidor de MCP de Memorystore para Redis, ingresa lo siguiente según sea necesario:

  • Nombre del servidor: Servidor de MCP de Memorystore para Redis
  • URL del servidor o extremo: https://redis.googleapis.com/mcp
  • Transporte: HTTP
  • Detalles de autenticación: Según cómo quieras autenticarte, puedes ingresar tus Google Cloud credenciales, tu ID de cliente y secreto de OAuth, o una identidad y credenciales de agente. Para obtener más información sobre la autenticación, consulta Autenticación en servidores de Google y Google Cloud MCP.
  • Permiso de OAuth: el permiso de OAuth 2.0 que deseas usar cuando te conectas al servidor de MCP de Memorystore para Redis.

Para obtener instrucciones específicas del host, consulta lo siguiente:

Para obtener instrucciones más generales, consulta los siguientes recursos:

Herramientas disponibles

Para ver los detalles de las herramientas de MCP disponibles y sus descripciones para el servidor de MCP de Memorystore para Redis, consulta la referencia de MCP de Memorystore para Redis.

Enumerar herramientas

Usa el Inspector de MCP para enumerar herramientas o envía una tools/list solicitud HTTP directamente al servidor de MCP remoto de Memorystore para Redis. El método tools/list no requiere autenticación.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Ejemplos de casos de uso

Los siguientes son ejemplos de casos de uso para el servidor de MCP de Memorystore para Redis:

"¿Por qué creas una instancia de Memorystore para Redis con la autenticación habilitada?"

Cuando creas una instancia y habilitas la función AUTH para ella, las conexiones de clientes entrantes deben autenticarse para conectarse a la instancia. Para conectarse, el cliente envía el comando AUTH y una cadena AUTH, que es una cadena generada de forma aleatoria que es única para la instancia. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP create_instance para crear la instancia.

"¿Por qué ves todas las instancias de Memorystore para Redis activas en una región específica?"

Cuando enumeras estas instancias, puedes asegurarte de que los recursos coincidan con tu arquitectura actual. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP list_instances para recuperar una lista con formato de instancias en la región especificada.

"¿Por qué recuperas extremos de conexión y metadatos operativos de una instancia de Memorystore para Redis en una región específica?"

Necesitas esta información para la integración de aplicaciones y el mantenimiento del sistema. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP get_instance para recuperar información sobre la instancia, como su extremo de descubrimiento y el recuento de réplicas.

"¿Cómo puedes optimizar Memorystore para Redis para tus aplicaciones con uso intensivo de datos?"

Para aumentar significativamente la capacidad de CPU y la capacidad de procesamiento de memoria para estas aplicaciones, puedes escalar una instancia de Memorystore para Redis aumentando el recuento de réplicas de la instancia. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP update_instance para actualizar el recuento de réplicas de la instancia.

"¿Cómo puedes proteger tus datos de las fallas que pueden ocurrir en una instancia de Memorystore para Redis o en la región en la que se encuentra?"

Exporta una instantánea de los datos de tu instancia a un bucket de Cloud Storage. Si se produce una falla regional o de instancia, puedes restablecer tus datos a una instancia nueva para reanudar las operaciones. El agente de IA del servidor de MCP de Memorystore para Redis usa la herramienta de MCP export_instance para exportar tus datos.

Configuraciones opcionales de seguridad

MCP introduce nuevos riesgos y consideraciones de seguridad debido a la amplia variedad de acciones que puedes realizar con las herramientas de MCP. Para minimizar y administrar estos riesgos, Google Cloud ofrece parámetros de configuración predeterminados y políticas personalizables para controlar el uso de herramientas de MCP en tu Google Cloud organización o proyecto.

Para obtener más información sobre la seguridad y la gobernanza de MCP, consulta Seguridad de la IA.

Usa Model Armor

Model Armor es un Google Cloud servicio diseñado para mejorar la seguridad y la seguridad de tus aplicaciones de IA. Funciona examinando de forma proactiva las instrucciones y respuestas de los LLM, protegiendo contra diversos riesgos y admitiendo prácticas de IA responsable. Ya sea que implementes IA en tu entorno de nube o en proveedores de servicios en la nube externos, Model Armor puede ayudarte a evitar entradas maliciosas, verificar la seguridad del contenido, proteger datos sensibles, mantener el cumplimiento y aplicar tus políticas de seguridad de IA de manera coherente en todo tu diverso panorama de IA.

Cuando Model Armor está habilitado con el registro habilitado, Model Armor registra toda la carga útil. Esto puede exponer información sensible en tus registros.

Habilita Model Armor

Para poder usar las APIs de Model Armor, debes habilitarlas.

Console

  1. Habilita la API de Model Armor.

    Roles necesarios para habilitar las APIs

    Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.

    Habilitar la API

  2. Elige el proyecto en el que quieres activar Model Armor.

gcloud

Antes de empezar, sigue estos pasos a través de la Google Cloud CLI con la API de Model Armor:

  1. En la Google Cloud consola de, activa Cloud Shell.

    Activa Cloud Shell

    En la parte inferior de la Google Cloud consola de, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. Ejecuta el comando siguiente para configurar el extremo de API del servicio de Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Reemplaza LOCATION por la región en la que quieres usar Model Armor.

Configura la protección para los servidores de MCP de Google y Google Cloud remotos

Para proteger las llamadas y respuestas de tus herramientas de MCP, puedes usar la configuración mínima de Model Armor. Un parámetro de configuración mínima define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de las herramientas de MCP dentro del proyecto.

Configura un parámetro de configuración mínima de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Configura los parámetros de configuración mínima de Model Armor settings.

Consulta el siguiente comando de ejemplo:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Reemplaza PROJECT_ID por el ID del Google Cloud proyecto.

Ten en cuenta la siguiente configuración:

  • INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y respuestas que coinciden con los filtros.
  • ENABLED: Es el parámetro de configuración que habilita un filtro o una aplicación.
  • MEDIUM_AND_ABOVE: Es el nivel de confianza para la configuración del filtro de IA responsable: peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Niveles de confianza de Model Armor.

Inhabilita el análisis del tráfico de MCP con Model Armor

Para evitar que Model Armor analice automáticamente el tráfico hacia y desde los servidores de MCP de Google en función de la configuración mínima del proyecto, ejecuta el siguiente comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Reemplaza PROJECT_ID por el Google Cloud ID del proyecto. Model Armor no aplica automáticamente las reglas definidas en la configuración mínima de este proyecto a ningún tráfico del servidor de MCP de Google.

La configuración mínima de Model Armor y la configuración general pueden afectar a más que solo a MCP. Debido a que Model Armor se integra con servicios como Vertex AI, cualquier cambio que realices en la configuración mínima puede afectar el análisis de tráfico y los comportamientos de seguridad en todos los servicios integrados, no solo en MCP.

Controla el uso de MCP con las políticas de denegación de IAM

Las políticas de denegación de Identity and Access Management (IAM) te ayudan a proteger Google Cloud los servidores de MCP remotos. Configura estas políticas para bloquear el acceso no deseado a las herramientas de MCP.

Por ejemplo, puedes denegar o permitir el acceso según lo siguiente:

  • La entidad
  • Propiedades de la herramienta, como solo lectura
  • El ID de cliente de OAuth de la aplicación

Para obtener más información, consulta Controla el uso de MCP con Identity and Access Management.

¿Qué sigue?

  • Obtén más información sobre los servidores de MCP de Google Cloud.