Se connecter à Memorystore pour Redis à partir d'applications d'IA à l'aide du serveur MCP distant

Ce document vous explique comment utiliser le serveur MCP (Model Context Protocol) Memorystore pour Redis à distance afin de vous connecter à des applications d'IA, y compris l'CLI Gemini, ChatGPT, Claude et les applications personnalisées que vous développez. Le serveur MCP distant Memorystore pour Redis vous permet de gérer les instances Memorystore pour Redis depuis vos environnements de développement et plates-formes d'agents d'IA.

Le Model Context Protocol (MCP) standardise la façon dont les grands modèles de langage (LLM) et les applications ou agents d'IA se connectent à des sources de données externes. Les serveurs MCP vous permettent d'utiliser leurs outils, ressources et requêtes pour effectuer des actions et obtenir des données à jour à partir de leur service de backend.

Quelle est la différence entre les serveurs MCP locaux et distants ?

Serveurs MCP locaux

S'exécutent généralement sur votre machine locale et utilisent les flux d'entrée et de sortie standards (stdio) pour la communication entre les services sur le même appareil.

Serveurs MCP distants

 s'exécute sur l'infrastructure du service et propose un point de terminaison HTTP aux applications d'IA pour la communication entre le client MCP d'IA et le serveur MCP. Pour en savoir plus sur l'architecture MCP, consultez Architecture MCP.

Serveurs MCP distants et Google Cloud

• Découverte simplifiée et centralisée.
• Points de terminaison HTTP mondiaux ou régionaux gérés.
• Autorisation précise.
• Sécurité facultative des requêtes et des réponses avec la protection Model Armor.
• Journalisation centralisée des audits.

Pour en savoir plus sur les autres serveurs MCP et sur les contrôles de sécurité et de gouvernance disponibles pour les serveurs MCP Google Cloud, consultez Présentation des serveurs MCP Google Cloud.

Avant de commencer

Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installez la Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installez la Google Cloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

Rôles requis

Pour obtenir les autorisations nécessaires pour utiliser le serveur MCP Memorystore for Redis, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet dans lequel vous souhaitez utiliser le serveur MCP Memorystore for Redis :

• Effectuer des appels d'outils MCP : Utilisateur de l'outil MCP (roles/mcp.toolUser)
• Créez une instance Memorystore pour Redis : Administrateur Redis Cloud Memorystore (roles/redis.admin)
• Obtenez une instance Memorystore pour Redis ou listez toutes les instances Memorystore pour Redis d'un projet : Lecteur Redis Cloud Memorystore (roles/redis.viewer)
• Gérer les règles d'utilisation des services : Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour utiliser le serveur MCP Memorystore pour Redis. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Authentification et autorisation

Les serveurs MCP Memorystore pour Redis utilisent le protocole OAuth 2.0 avec Identity and Access Management (IAM) pour l'authentification et l'autorisation. Toutes les Google Cloud identités sont acceptées pour l'authentification auprès des serveurs MCP.

Le serveur MCP distant Memorystore pour Redis accepte les clés API.

Nous vous recommandons de créer une identité distincte pour les agents qui utilisent les outils MCP afin de pouvoir contrôler et surveiller l'accès aux ressources. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs Google et Google Cloud MCP.

Champ d'application OAuth MCP Memorystore pour Redis

OAuth 2.0 utilise un champ d'application et des identifiants pour déterminer si un compte principal authentifié est autorisé à effectuer une action spécifique sur une ressource. Pour en savoir plus sur les champs d'application OAuth 2.0 chez Google, consultez Utiliser OAuth 2.0 pour accéder aux API Google.

Memorystore pour Redis dispose du champ d'application OAuth suivant pour l'outil MCP :

Configurer un client MCP pour qu'il utilise le serveur MCP Memorystore pour Redis

Les applications et agents d'IA, tels que Claude ou Gemini CLI, peuvent instancier un client MCP qui se connecte à un seul serveur MCP. Une application d'IA peut avoir plusieurs clients qui se connectent à différents serveurs MCP. Pour se connecter à un serveur MCP distant, le client MCP doit connaître au minimum l'URL du serveur MCP distant.

Dans votre application d'IA, recherchez un moyen de vous connecter à un serveur MCP distant. Vous êtes invité à saisir des informations sur le serveur, comme son nom et son URL.

Pour le serveur MCP Memorystore pour Redis, saisissez les informations suivantes, le cas échéant :

• Nom du serveur : serveur MCP Memorystore pour Redis
• URL du serveur ou point de terminaison : https://redis.googleapis.com/mcp
• Transport : HTTP
• Informations d'authentification : selon la méthode d'authentification choisie, vous pouvez saisir vos identifiants Google Cloud , votre ID client et votre code secret OAuth, ou encore l'identité et les identifiants d'un agent. Pour en savoir plus sur l'authentification, consultez S'authentifier auprès des serveurs Google et Google Cloud MCP.
• Champ d'application OAuth : champ d'application OAuth 2.0 que vous souhaitez utiliser lorsque vous vous connectez au serveur MCP Memorystore pour Redis.

Pour obtenir des conseils spécifiques à un hôte, consultez les articles suivants :

• Claude.ai
• Gemini CLI

Pour obtenir des conseils plus généraux, consultez les ressources suivantes :

• Se connecter à des serveurs MCP distants
• Configurer MCP dans une application d'IA

Outils disponibles

Pour afficher les détails des outils MCP disponibles et leurs descriptions pour le serveur MCP Memorystore pour Redis, consultez la référence MCP Memorystore pour Redis.

Outils de liste

Utilisez l'inspecteur MCP pour lister les outils ou envoyez une requête HTTP tools/list directement au serveur MCP distant Memorystore pour Redis. La méthode tools/list ne nécessite pas d'authentification.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemples de cas d'utilisation

Voici des exemples de cas d'utilisation du serveur MCP Memorystore pour Redis :

"Pourquoi créer une instance Memorystore pour Redis avec l'authentification activée ?"

En créant une instance et en activant la fonctionnalité AUTH pour celle-ci, les connexions clientes entrantes doivent s'authentifier pour se connecter à l'instance. Pour se connecter, le client envoie la commande AUTH et une chaîne AUTH, qui est une chaîne générée de manière aléatoire et unique pour l'instance. L'agent d'IA du serveur MCP Memorystore for Redis utilise l'outil MCP create_instance pour créer l'instance.

"Pourquoi afficher toutes les instances Memorystore pour Redis actives dans une région spécifique ?"

En listant ces instances, vous pouvez vous assurer que les ressources correspondent à votre architecture actuelle. L'agent d'IA du serveur MCP Memorystore pour Redis utilise l'outil MCP list_instances pour récupérer une liste formatée des instances dans la région spécifiée.

"Pourquoi récupérez-vous les points de terminaison de connexion et les métadonnées opérationnelles d'une instance Memorystore pour Redis dans une région spécifique ?"

Vous avez besoin de ces informations pour l'intégration d'applications et la maintenance du système. L'agent d'IA du serveur MCP Memorystore pour Redis utilise l'outil MCP get_instance pour récupérer des informations sur l'instance, telles que son point de terminaison de découverte et le nombre de répliques.

"Comment optimiser Memorystore pour Redis pour vos applications gourmandes en données ?"

Pour augmenter considérablement la capacité de processeur et le débit de mémoire de ces applications, vous pouvez effectuer un scaling d'une instance Memorystore pour Redis en augmentant le nombre de réplicas de l'instance. L'agent d'IA du serveur MCP Memorystore pour Redis utilise l'outil MCP update_instance pour mettre à jour le nombre de répliques de l'instance.

"Comment protéger vos données contre les défaillances qui peuvent survenir dans une instance Memorystore pour Redis ou dans la région où elle se trouve ?"

Exportez un instantané des données de votre instance vers un bucket Cloud Storage. En cas de défaillance régionale ou d'instance, vous pouvez restaurer vos données dans une nouvelle instance pour reprendre vos opérations. L'agent d'IA du serveur MCP Memorystore pour Redis utilise l'outil MCP export_instance pour exporter vos données.

Configurations de sécurité et de protection facultatives

En raison de la grande variété d'actions que vous pouvez effectuer avec les outils MCP, MCP introduit de nouveaux risques et considérations de sécurité. Pour minimiser et gérer ces risques, Google Cloud propose des paramètres par défaut et des règles personnalisables permettant de contrôler l'utilisation des outils MCP dans votre organisation ou projet Google Cloud .

Pour en savoir plus sur la sécurité et la gouvernance de MCP, consultez Sécurité et sûreté de l'IA.

Model Armor

Model Armor est un service Google Cloud conçu pour améliorer la sécurité de vos applications d'IA. Il fonctionne en analysant de manière proactive les requêtes et les réponses des LLM, en protégeant contre divers risques et en favorisant les pratiques d'IA responsable. Que vous déployiez l'IA dans votre environnement cloud ou chez des fournisseurs de cloud externes, Model Armor peut vous aider à prévenir les entrées malveillantes, à vérifier la sécurité du contenu, à protéger les données sensibles, à maintenir la conformité et à appliquer vos règles de sécurité et de protection de l'IA de manière cohérente dans votre paysage d'IA diversifié.

Model Armor est disponible dans certaines régions. Si vous activez Model Armor pour un projet et qu'un appel à ce projet provient d'une région non prise en charge, Model Armor effectue un appel multirégional. Pour en savoir plus, consultez Emplacements de Model Armor.

Activer Model Armor

Vous devez activer les API Model Armor avant de pouvoir utiliser Model Armor.

Configurer la protection pour les serveurs MCP Google et Google Cloud distants

Pour protéger les appels et les réponses de vos outils MCP, vous pouvez utiliser les paramètres de plancher Model Armor. Un paramètre de plancher définit les filtres de sécurité minimaux qui s'appliquent à l'ensemble du projet. Cette configuration applique un ensemble cohérent de filtres à tous les appels et réponses d'outils MCP du projet.

Configurez un paramètre plancher Model Armor avec la désinfection MCP activée. Pour en savoir plus, consultez Configurer les paramètres de plancher Model Armor.

Consultez l'exemple de commande suivant :

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Notez les paramètres suivants :

• INSPECT_AND_BLOCK : type d'application qui inspecte le contenu du serveur MCP Google et bloque les requêtes et les réponses qui correspondent aux filtres.
• ENABLED : paramètre qui active un filtre ou une application forcée.
• MEDIUM_AND_ABOVE : niveau de confiance pour les paramètres du filtre "IA responsable – Dangereux". Vous pouvez modifier ce paramètre, mais des valeurs plus faibles peuvent entraîner davantage de faux positifs. Pour en savoir plus, consultez Niveaux de confiance de Model Armor.

Désactiver l'analyse du trafic MCP avec Model Armor

Si vous souhaitez arrêter d'analyser le trafic Google MCP avec Model Armor, exécutez la commande suivante :

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Remplacez PROJECT_ID par l'ID du projet Google Cloud .

Model Armor n'analysera pas le trafic MCP dans le projet.

Contrôler l'utilisation du MCP avec des stratégies de refus IAM

Les stratégies de refus Identity and Access Management (IAM) vous aident à sécuriser les serveurs MCP à distance. Google Cloud Configurez ces règles pour bloquer l'accès indésirable aux outils MCP.

Par exemple, vous pouvez refuser ou autoriser l'accès en fonction des critères suivants :

• Le compte principal
• Propriétés de l'outil, comme la lecture seule
• ID client OAuth de l'application

Pour en savoir plus, consultez Contrôler l'utilisation de MCP avec Identity and Access Management.