Conectar-se ao Memorystore para Redis de aplicativos de IA usando o servidor MCP remoto

Este documento mostra como usar o servidor remoto do Protocolo de Contexto de Modelo (MCP) da Memorystore para Redis para se conectar a aplicativos de IA, incluindo a CLI do Gemini, o ChatGPT, o Claude e aplicativos personalizados que você está desenvolvendo. O servidor MCP remoto do Memorystore para Redis permite gerenciar instâncias do Memorystore para Redis em ambientes de desenvolvimento com tecnologia de IA e plataformas de agentes de IA.

O padrão Protocolo de Contexto de Modelo (MCP) padroniza como os modelos de linguagem grandes (LLMs) e os aplicativos ou agentes de IA se conectam a fontes de dados externas. Com os servidores do MCP, você pode usar as ferramentas, os recursos e os comandos deles para realizar ações e receber dados atualizados do serviço de back-end.

Qual é a diferença entre servidores MCP locais e remotos?

Servidores MCP locais

Normalmente executados na máquina local e usam os fluxos de entrada e saída padrão (stdio) para comunicação entre serviços no mesmo dispositivo.

Servidores MCP remotos

Executar na infraestrutura do serviço e oferecer um endpoint HTTP para aplicativos de IA para comunicação entre o cliente MCP de IA e o servidor MCP. Para mais informações sobre a arquitetura do MCP, consulte Arquitetura do MCP.

Servidores MCP remotos e do Google Google Cloud

• Descoberta simplificada e centralizada.
• Endpoints HTTP globais ou regionais gerenciados.
• Autorização detalhada.
• Segurança opcional de comandos e respostas com a proteção do Model Armor.
• Registro de auditoria centralizado.

Para informações sobre outros servidores MCP e controles de segurança e governança disponíveis para servidores MCP do Google Cloud, consulte Visão geral dos servidores MCP do Google Cloud.

Antes de começar

Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Instale a CLI do Google Cloud.

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Para inicializar a gcloud CLI, execute o seguinte comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Redis API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Instale a CLI do Google Cloud.

Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

Para inicializar a gcloud CLI, execute o seguinte comando:

gcloud init

Funções exigidas

Para receber as permissões necessárias a fim de usar o servidor MCP do Memorystore para Redis, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você quer usar o servidor MCP do Memorystore para Redis:

• Fazer chamadas de ferramentas do MCP: Usuário da ferramenta MCP (roles/mcp.toolUser)
• Crie uma instância do Memorystore para Redis: Administrador do Cloud Memorystore para Redis (roles/redis.admin)
• Receba uma instância do Memorystore para Redis ou liste todas as instâncias do Memorystore para Redis em um projeto: Leitor do Cloud Memorystore para Redis (roles/redis.viewer)
• Gerenciar políticas de uso do serviço: Administrador do Service Usage (roles/serviceusage.serviceUsageAdmin)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar o servidor MCP do Memorystore para Redis. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Autenticação e autorização

Os servidores MCP do Memorystore para Redis usam o protocolo OAuth 2.0 com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores MCP.

O servidor MCP remoto do Memorystore para Redis aceita chaves de API.

Recomendamos criar uma identidade separada para agentes que usam ferramentas do MCP. Assim, é possível controlar e monitorar o acesso aos recursos. Para mais informações sobre autenticação, consulte Autenticar no Google e nos servidores do Google Cloud MCP.

Escopo do OAuth do MCP do Memorystore para Redis

O OAuth 2.0 usa um escopo e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O Memorystore para Redis tem o seguinte escopo OAuth da ferramenta MCP:

Configurar um cliente MCP para usar o servidor MCP do Memorystore para Redis

Aplicativos e agentes de IA, como a CLI do Claude ou do Gemini, podem instanciar um cliente MCP que se conecta a um único servidor MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores MCP. Para se conectar a um servidor MCP remoto, o cliente MCP precisa saber, no mínimo, o URL do servidor MCP remoto.

No seu aplicativo de IA, procure uma maneira de se conectar a um servidor MCP remoto. Você vai precisar inserir detalhes sobre o servidor, como nome e URL.

Para o servidor MCP do Memorystore para Redis, insira o seguinte conforme necessário:

• Nome do servidor: servidor MCP do Memorystore para Redis
• URL do servidor ou Endpoint: https://redis.googleapis.com/mcp
• Transporte: HTTP
• Detalhes da autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID e a chave secreta do cliente OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar no Google e nos servidores Google Cloud MCP.
• Escopo do OAuth: o escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor MCP do Memorystore para Redis.

Para orientações específicas do host, consulte:

• Claude.ai
• CLI do Gemini

Para orientações mais gerais, consulte os seguintes recursos:

• Conecte-se a servidores MCP remotos.
• Configurar o MCP em um aplicativo de IA.

Ferramentas disponíveis

Para conferir detalhes das ferramentas do MCP disponíveis e as descrições delas para o servidor MCP do Memorystore para Redis, consulte a referência do MCP do Memorystore para Redis.

Ferramentas de lista

Use o MCP Inspector para listar ferramentas ou envie uma solicitação HTTP tools/list diretamente ao servidor MCP remoto do Memorystore para Redis. O método tools/list não requer autenticação.

POST /mcp HTTP/1.1
Host: redis.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemplos de casos de uso

Confira a seguir exemplos de casos de uso do servidor MCP do Memorystore para Redis:

Por que você cria uma instância do Memorystore para Redis com a autenticação ativada?

Ao criar uma instância e ativar o recurso AUTH para ela, as conexões de cliente recebidas precisam ser autenticadas para se conectar à instância. Para se conectar, o cliente envia o comando AUTH e uma string AUTH, que é uma string gerada aleatoriamente e exclusiva para a instância. O agente de IA do servidor MCP da Memorystore for Redis usa a ferramenta create_instance do MCP para criar a instância.

Por que você vê todas as instâncias ativas do Memorystore para Redis em uma região específica?

Ao listar essas instâncias, você garante que os recursos correspondam à sua arquitetura atual. O agente de IA do servidor MCP da Memorystore para Redis usa a ferramenta list_instances do MCP para recuperar uma lista formatada de instâncias na região especificada.

Por que você recupera endpoints de conexão e metadados operacionais de uma instância do Memorystore para Redis em uma região específica?

Você precisa dessas informações para integração de aplicativos e manutenção do sistema. O agente de IA do servidor MCP do Memorystore para Redis usa a ferramenta get_instance do MCP para recuperar informações sobre a instância, como o endpoint de descoberta e a contagem de réplicas.

Como otimizar o Memorystore para Redis para seus aplicativos que exigem muitos dados?

Para aumentar significativamente a capacidade da CPU e a capacidade de processamento de memória desses aplicativos, é possível escalonar uma instância do Memorystore para Redis aumentando a contagem de réplicas da instância. O agente de IA do servidor MCP do Memorystore para Redis usa a ferramenta update_instance do MCP para atualizar a contagem de réplicas da instância.

Como proteger seus dados contra falhas que podem ocorrer em uma instância do Memorystore para Redis ou na região em que ela está localizada?

Exporte um snapshot dos dados na sua instância para um bucket do Cloud Storage. Se ocorrer uma falha regional ou de instância, será possível restaurar os dados em uma nova instância para retomar as operações. O agente de IA do servidor do MCP do Memorystore para Redis usa a ferramenta export_instance do MCP para exportar seus dados.

Configurações opcionais de segurança

Devido à grande variedade de ações que podem ser realizadas com as ferramentas de MCP, a MCP introduz novos riscos e considerações de segurança. Para minimizar e gerenciar esses riscos,o Google Cloud oferece políticas padrão e personalizáveis para controlar o uso das ferramentas do MCP na sua organização ou projeto do Google Cloud .

Para mais informações sobre segurança e governança do MCP, consulte Segurança e proteção de IA.

Model Armor

O Model Armor é um Google Cloud serviço projetado para aumentar a segurança dos seus aplicativos de IA. Ele funciona verificando proativamente comandos e respostas de LLMs, protegendo contra vários riscos e apoiando práticas de IA responsável. Se você estiver implantando IA no seu ambiente de nuvem ou em provedores de nuvem externos, o Model Armor pode ajudar a evitar entradas maliciosas, verificar a segurança do conteúdo, proteger dados sensíveis, manter a conformidade e aplicar suas políticas de segurança e proteção de IA de maneira consistente em todo o cenário diversificado de IA.

O Model Armor está disponível em locais regionais específicos. Se você ativar o Model Armor para um projeto e uma chamada a esse projeto vier de uma região sem suporte, o Model Armor fará uma chamada entre regiões. Para mais informações, consulte Locais do Model Armor.

Ativar o Model Armor

É necessário ativar as APIs do Model Armor antes de usar o Model Armor.

Configurar a proteção para servidores MCP remotos e do Google Google Cloud

Para proteger as chamadas e respostas da sua ferramenta MCP, use as configurações mínimas do Model Armor. Uma configuração mínima define os filtros de segurança mínimos que se aplicam a todo o projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas de ferramentas do MCP no projeto.

Configure uma configuração de valor mínimo do Model Armor com a limpeza do MCP ativada. Para mais informações, consulte Configurar configurações mínimas do Model Armor.

Confira o exemplo de comando a seguir:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Substitua PROJECT_ID pelo ID do projeto Google Cloud .

Observe as seguintes configurações:

• INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor MCP do Google e bloqueia solicitações e respostas que correspondem aos filtros.
• ENABLED: a configuração que ativa um filtro ou uma aplicação.
• MEDIUM_AND_ABOVE: o nível de confiança para as configurações do filtro de IA responsável - perigoso. É possível modificar essa configuração, mas valores mais baixos podem resultar em mais falsos positivos. Para mais informações, consulte Níveis de confiança do Model Armor.

Desativar a verificação do tráfego da MCP com o Model Armor

Se você quiser interromper a verificação do tráfego do Google MCP com o Model Armor, execute o seguinte comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Substitua PROJECT_ID pelo Google Cloud ID do projeto.

O Model Armor não vai verificar o tráfego do MCP no projeto.

Controlar o uso do MCP com políticas de negação do IAM

As políticas de negação do Identity and Access Management (IAM) ajudam a proteger Google Cloud servidores MCP remotos. Configure essas políticas para bloquear o acesso indesejado às ferramentas do MCP.

Por exemplo, é possível negar ou permitir o acesso com base em:

• O diretor
• Propriedades da ferramenta, como somente leitura
• O ID do cliente OAuth do aplicativo

Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.