Connettiti a Memorystore for Redis dalle applicazioni AI utilizzando il server MCP remoto

Questo documento mostra come utilizzare il server Model Context Protocol (MCP) remoto di Memorystore for Redis per connettersi ad applicazioni AI, tra cui Gemini CLI, ChatGPT, Claude e applicazioni personalizzate che stai sviluppando. Il server MCP remoto di Memorystore for Redis ti consente di gestire le istanze Memorystore for Redis dai tuoi ambienti di sviluppo abilitati all'AI e dalle piattaforme di agenti AI.

Il Model Context Protocol (MCP) standardizza il modo in cui i modelli linguistici di grandi dimensioni (LLM) e le applicazioni o gli agenti AI si connettono a origini dati esterne. I server MCP ti consentono di utilizzare i loro strumenti, risorse e prompt per eseguire azioni e ottenere dati aggiornati dal loro servizio di backend.

Qual è la differenza tra i server MCP locali e remoti?

Server MCP locali

In genere vengono eseguiti sulla macchina locale e utilizzano i flussi di input e output standard (stdio) per la comunicazione tra i servizi sullo stesso dispositivo.

Server MCP remoti

Viene eseguito sull'infrastruttura del servizio e offre un endpoint HTTP alle applicazioni di AI per la comunicazione tra il client AI MCP e il server MCP. Per maggiori informazioni sull'architettura MCP, consulta la sezione Architettura MCP.

Google e Google Cloud server MCP remoti

• Rilevamento semplificato e centralizzato.
• Endpoint HTTP globali o regionali gestiti.
• Autorizzazione granulare.
• Sicurezza opzionale di prompt e risposte con la protezione Model Armor.
• Audit logging centralizzato.

Per informazioni su altri server MCP e sui controlli di sicurezza e governance disponibili per i server MCP di Google Cloud, consulta la panoramica dei server MCP di Google Cloud.

Prima di iniziare

Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Installa Google Cloud CLI.

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Per inizializzare gcloud CLI, esegui questo comando:

gcloud init

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il server Memorystore for Redis MCP, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto in cui vuoi utilizzare il server Memorystore for Redis MCP:

• Effettua chiamate allo strumento MCP: MCP Tool User (roles/mcp.toolUser)
• Crea un'istanza Memorystore for Redis: Cloud Memorystore Redis Admin (roles/redis.admin)
• Recupera un'istanza Memorystore for Redis o elenca tutte le istanze Memorystore for Redis in un progetto: Visualizzatore Cloud Memorystore Redis (roles/redis.viewer)
• Gestisci i criteri di utilizzo del servizio: Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il server MCP Memorystore for Redis. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Autenticazione e autorizzazione

I server MCP Memorystore for Redis utilizzano il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le identitàGoogle Cloud sono supportate per l'autenticazione ai server MCP.

Il server MCP remoto Memorystore for Redis accetta le chiavi API.

Consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull'autenticazione, consulta Autenticarsi con Google e con i server Google Cloud MCP.

Ambito OAuth MCP di Memorystore for Redis

OAuth 2.0 utilizza un ambito e le credenziali per determinare se un principal autenticato è autorizzato a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, leggi l'articolo Utilizzare OAuth 2.0 per accedere alle API di Google.

Memorystore for Redis ha il seguente ambito OAuth dello strumento MCP:

Configura un client MCP per utilizzare il server MCP Memorystore for Redis

Le applicazioni e gli agenti AI, come Claude o Gemini CLI, possono creare un client MCP che si connette a un singolo server MCP. Un'applicazione AI può avere più client che si connettono a server MCP diversi. Per connettersi a un server MCP remoto, il client MCP deve conoscere almeno l'URL del server MCP remoto.

Nella tua applicazione AI, cerca un modo per connetterti a un server MCP remoto. Ti viene chiesto di inserire i dettagli del server, come il nome e l'URL.

Per il server MCP Memorystore for Redis, inserisci quanto segue in base alle esigenze:

• Nome server: server MCP Memorystore for Redis
• URL server o endpoint: https://redis.googleapis.com/mcp
• Trasporto: HTTP
• Dettagli di autenticazione: a seconda di come vuoi autenticarti, puoi inserire le tue Google Cloud credenziali, l'ID client OAuth e il segreto oppure un'identità e credenziali dell'agente. Per saperne di più sull'autenticazione, consulta Eseguire l'autenticazione nei server Google e Google Cloud MCP.
• Ambito OAuth: l'ambito OAuth 2.0 che vuoi utilizzare per connetterti al server MCP Memorystore for Redis.

Per indicazioni specifiche per l'host, consulta:

• Claude.ai
• Gemini CLI

Per indicazioni più generali, consulta le seguenti risorse:

• Connettiti ai server MCP remoti.
• Configura MCP in un'applicazione AI.

Strumenti disponibili

Per visualizzare i dettagli degli strumenti MCP disponibili e le relative descrizioni per il server MCP Memorystore for Redis, consulta il riferimento a MCP Memorystore for Redis.

Strumenti per le liste

Utilizza MCP Inspector per elencare gli strumenti o invia una richiesta HTTP tools/list direttamente al server MCP remoto di Memorystore for Redis. Il metodo tools/list non richiede l'autenticazione.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Esempi di casi d'uso

Di seguito sono riportati esempi di casi d'uso per il server Memorystore for Redis MCP:

"Perché creare un'istanza Memorystore for Redis con l'autenticazione abilitata?"

Se crei un'istanza e attivi la funzionalità AUTH, le connessioni client in entrata devono autenticarsi per connettersi all'istanza. Per connettersi, il client invia il comando AUTH e una stringa AUTH, che è una stringa generata in modo casuale univoca per l'istanza. L'agente AI del server MCP Memorystore for Redis utilizza lo strumento MCP create_instance per creare l'istanza.

"Perché visualizzi tutte le istanze Memorystore for Redis attive in una regione specifica?"

Elencando queste istanze, puoi assicurarti che le risorse corrispondano alla tua architettura attuale. L'agente AI del server MCP Memorystore for Redis utilizza lo strumento MCP list_instances per recuperare un elenco formattato di istanze nella regione specificata.

"Perché recuperi gli endpoint di connessione e i metadati operativi da un'istanza Memorystore for Redis in una regione specifica?"

Queste informazioni sono necessarie per l'integrazione delle applicazioni e la manutenzione del sistema. L'agente AI del server MCP di Memorystore for Redis utilizza lo strumento MCP per recuperare informazioni sull'istanza, come l'endpoint di rilevamento e il conteggio delle repliche.get_instance

"Come puoi ottimizzare Memorystore for Redis per le tue applicazioni che richiedono un uso intensivo dei dati?"

Per aumentare in modo significativo sia la capacità della CPU sia la velocità effettiva della memoria per queste applicazioni, puoi scalare un'istanza Memorystore for Redis aumentando il numero di repliche dell'istanza. L'agente AI del server MCP Memorystore for Redis utilizza lo strumento MCP update_instance per aggiornare il conteggio delle repliche per l'istanza.

"Come puoi proteggere i tuoi dati da errori che potrebbero verificarsi in un'istanza Memorystore for Redis o nella regione in cui si trova?"

Esporta uno snapshot dei dati nella tua istanza in un bucket Cloud Storage. In caso di errore a livello regionale o di istanza, puoi ripristinare i dati in una nuova istanza per riprendere le operazioni. L'agente AI del server Memorystore for Redis MCP utilizza lo strumento MCP export_instance per esportare i dati.

Configurazioni di sicurezza facoltative

A causa dell'ampia gamma di azioni che puoi intraprendere con gli strumenti MCP, MCP introduce nuovi rischi e considerazioni per la sicurezza. Per ridurre al minimo e gestire questi rischi, Google Cloud offre policy predefinite e personalizzabili per controllare l'utilizzo degli strumenti MCP nella tua organizzazione o nel tuo progetto Google Cloud .

Per saperne di più sulla sicurezza e sulla governance di MCP, consulta Sicurezza e protezione dell'AI.

Model Armor

Model Armor è un servizio Google Cloud progettato per migliorare la sicurezza delle tue applicazioni AI. Funziona controllando in modo proattivo i prompt e le risposte degli LLM, proteggendo da vari rischi e supportando pratiche di AI responsabile. Che tu stia eseguendo il deployment dell'AI nel tuo ambiente cloud o su provider cloud esterni, Model Armor può aiutarti a prevenire input dannosi, verificare la sicurezza dei contenuti, proteggere i dati sensibili, mantenere la conformità e applicare in modo coerente le tue norme di sicurezza dell'AI nel tuo panorama di AI diversificato.

Model Armor è disponibile in località regionali specifiche. Se attivi Model Armor per un progetto e una chiamata a quel progetto proviene da una regione non supportata, Model Armor effettua una chiamata tra regioni. Per saperne di più, consulta Località di Model Armor.

Abilita Model Armor

Prima di poter utilizzare Model Armor, devi abilitare le API Model Armor.

Configurare la protezione per i server MCP remoti di Google e Google Cloud

Per proteggere le chiamate e le risposte dello strumento MCP, puoi utilizzare le impostazioni di base di Model Armor. Un'impostazione di base definisce i filtri di sicurezza minimi che vengono applicati a tutto il progetto. Questa configurazione applica un insieme coerente di filtri a tutte le chiamate e le risposte degli strumenti MCP all'interno del progetto.

Configura un'impostazione di base di Model Armor con la sanificazione MCP attivata. Per saperne di più, consulta Configurare le impostazioni di base di Model Armor.

Vedi il seguente comando di esempio:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Sostituisci PROJECT_ID con l'ID progetto Google Cloud .

Tieni presente le seguenti impostazioni:

• INSPECT_AND_BLOCK: il tipo di applicazione che ispeziona i contenuti per il server MCP di Google e blocca i prompt e le risposte che corrispondono ai filtri.
• ENABLED: l'impostazione che attiva un filtro o l'applicazione.
• MEDIUM_AND_ABOVE: il livello di confidenza per le impostazioni del filtro AI responsabile - Pericoloso. Puoi modificare questa impostazione, anche se valori più bassi potrebbero generare più falsi positivi. Per saperne di più, consulta Livelli di confidenza di Model Armor.

Disattivare l'analisi del traffico MCP con Model Armor

Se vuoi interrompere la scansione del traffico Google MCP con Model Armor, esegui questo comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Sostituisci PROJECT_ID con l'ID progetto Google Cloud .

Model Armor non eseguirà la scansione del traffico MCP nel progetto.

Controllare l'utilizzo di MCP con i criteri di negazione IAM

I criteri di negazione di Identity and Access Management (IAM) ti aiutano a proteggere Google Cloud i server MCP remoti. Configura queste policy per bloccare l'accesso indesiderato allo strumento MCP.

Ad esempio, puoi negare o consentire l'accesso in base a:

• Il preside
• Proprietà dello strumento come sola lettura
• L'ID client OAuth dell'applicazione

Per saperne di più, consulta Controllare l'utilizzo di MCP con Identity and Access Management.