Conectar-se ao Memorystore para Valkey de aplicativos de IA usando o servidor MCP remoto

Este documento mostra como usar o servidor do Protocolo de Contexto de Modelo (MCP) remoto do Memorystore for Valkey para se conectar a aplicativos de IA, incluindo a CLI do Gemini, o ChatGPT, o Claude e aplicativos personalizados que você está desenvolvendo. O servidor do MCP remoto do Memorystore for Valkey permite gerenciar instâncias e backups do Memorystore for Valkey em ambientes de desenvolvimento com IA e plataformas de agentes de IA. O servidor do MCP remoto do Memorystore for Valkey é ativado quando você ativa a API Memorystore for Valkey.

O Protocolo de Contexto de Modelo (MCP) padroniza a forma como modelos de linguagem grandes (LLMs) e aplicativos ou agentes de IA se conectam a fontes de dados externas. Os servidores do MCP permitem usar as ferramentas, os recursos e os comandos deles para realizar ações e receber dados atualizados do serviço de back-end.

Qual é a diferença entre servidores do MCP locais e remotos?

Servidores do MCP locais
Normalmente são executados na máquina local e usam os fluxos de entrada e saída padrão (stdio) para comunicação entre serviços no mesmo dispositivo.
Servidores do MCP remotos
São executados na infraestrutura do serviço e oferecem um endpoint HTTP para aplicativos de IA para comunicação entre o cliente do MCP de IA e o servidor do MCP. Para mais informações sobre a arquitetura do MCP, consulte Arquitetura do MCP.

Servidores do MCP do Google e Google Cloud remotos

Os servidores do MCP do Google e Google Cloud remotos têm os seguintes recursos e benefícios:

  • Descoberta simplificada e centralizada
  • Endpoints HTTP globais ou regionais gerenciados
  • Autorização detalhada
  • Segurança opcional de comandos e respostas com a proteção do Model Armor
  • Geração de registros de auditoria centralizada

Para informações sobre outros servidores do MCP e sobre os controles de segurança e governança disponíveis para servidores do MCP do Google Cloud, consulte Visão geral dos servidores do MCP do Google Cloud.

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você não conhece o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Memorystore for Valkey API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Instale a Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  7. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Memorystore for Valkey API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Instale a Google Cloud CLI.

  12. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  13. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

Funções exigidas

Para receber as permissões necessárias para usar o servidor do MCP do Memorystore for Valkey, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto em que você quer usar o servidor do MCP do Memorystore for Valkey:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para usar o servidor do MCP do Memorystore for Valkey. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para usar o servidor do MCP do Memorystore for Valkey:

  • Receber informações sobre uma política de uso do serviço: serviceusage.mcppolicy.get
  • Atualizar uma política de uso do serviço: serviceusage.mcppolicy.update
  • Fazer chamadas de ferramentas do MCP: mcp.tools.call
  • Criar uma instância do Memorystore for Valkey: memorystore.instances.create
  • Listar instâncias do Memorystore for Valkey: memorystore.instances.list
  • Receber informações sobre uma instância do Memorystore for Valkey: memorystore.instances.get
  • Clonar uma instância do Memorystore for Valkey: memorystore.instances.create
  • Atualizar uma instância do Memorystore for Valkey: memorystore.instances.update
  • Fazer backup de uma instância do Memorystore for Valkey: memorystore.instances.backup
  • Excluir uma instância do Memorystore for Valkey: memorystore.instances.delete

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Autenticação e autorização

Os servidores do MCP do Memorystore for Valkey usam o OAuth 2.0 protocolo com o Identity and Access Management (IAM) para autenticação e autorização. Todas as Google Cloud identidades são compatíveis com a autenticação em servidores do MCP.

O servidor do MCP remoto do Memorystore for Valkey aceita chaves de API.

Recomendamos criar uma identidade separada para agentes que usam ferramentas do MCP para que o acesso aos recursos possa ser controlado e monitorado. Para mais informações sobre autenticação, consulte Autenticar em servidores do Google e Google Cloud do MCP.

Escopo do OAuth do MCP do Memorystore for Valkey

O OAuth 2.0 usa um escopo e credenciais para determinar se um principal autenticado está autorizado a realizar uma ação específica em um recurso. Para mais informações sobre os escopos do OAuth 2.0 no Google, leia Como usar o OAuth 2.0 para acessar as APIs do Google.

O Memorystore for Valkey tem o seguinte escopo do OAuth da ferramenta do MCP:

URI do escopo Descrição
https://www.googleapis.com/auth/memorystore.read-write Criar, listar, fazer backup, atualizar e excluir instâncias.

Configurar um cliente do MCP para usar o servidor do MCP do Memorystore for Valkey

Aplicativos e agentes de IA, como Claude ou Antigravity, podem instanciar um cliente do MCP que se conecta a um único servidor do MCP. Um aplicativo de IA pode ter vários clientes que se conectam a diferentes servidores do MCP. Se o aplicativo não estiver listado nas orientações específicas do cliente, use as informações a seguir para se conectar na maioria dos aplicativos.

No aplicativo de IA, procure uma maneira de adicionar ou se conectar a um servidor do MCP remoto. Para o servidor do MCP do Memorystore for Valkey, insira as seguintes informações conforme necessário:

  • Nome do servidor: servidor do MCP do Memorystore for Valkey
  • URL do servidor ou endpoint: https://memorystore.googleapis.com/mcp
  • Transporte: HTTP
  • Detalhes de autenticação: dependendo de como você quer autenticar, é possível inserir suas Google Cloud credenciais, o ID e a chave secreta do cliente OAuth ou uma identidade e credenciais do agente. Para mais informações sobre autenticação, consulte Autenticar em servidores do Google e{/}do MCP. Google Cloud
  • Escopo do OAuth: o escopo do OAuth 2.0 que você quer usar ao se conectar ao servidor do MCP do Memorystore for Valkey.

Para orientações específicas do aplicativo sobre como configurar e se conectar ao servidor do MCP, consulte Orientações específicas do cliente.

Para orientações mais gerais, consulte os seguintes recursos:

Ferramentas disponíveis

Para conferir detalhes das ferramentas do MCP disponíveis e as descrições delas para o servidor do MCP do Memorystore for Valkey, consulte a referência do MCP do Memorystore for Valkey.

Listar ferramentas

Use o MCP Inspector para listar ferramentas ou envie uma tools/list solicitação HTTP diretamente para o Memorystore for Valkey servidor do MCP remoto. O método tools/list não exige autenticação.

POST /mcp HTTP/1.1
Host: memorystore.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Exemplos de casos de uso

A seguir, apresentamos exemplos de casos de uso do servidor do MCP do Memorystore for Valkey:

"Por que você cria uma instância regional do Memorystore for Valkey com a autenticação do IAM ativada?"

A criação desse tipo de instância elimina senhas estáticas em favor de credenciais centralizadas e de curta duração para cargas de trabalho regionais altamente seguras. O agente de IA do servidor do MCP do Memorystore for Valkey usa a ferramenta create_instance do MCP para criar a instância.

"Por que você visualiza todas as instâncias ativas do Memorystore for Valkey em uma região específica?"

Ao listar essas instâncias, você garante que os recursos correspondam à arquitetura atual. O agente de IA do servidor do MCP do Memorystore for Valkey usa a ferramenta list_instances do MCP para recuperar uma lista formatada de instâncias na região especificada.

"Por que você recupera endpoints de conexão e metadados operacionais de uma instância do Memorystore for Valkey em uma região específica?"

Você precisa dessas informações para integração de aplicativos e manutenção do sistema. O agente de IA do servidor do MCP do Memorystore for Valkey usa a ferramenta get_instance do MCP para recuperar informações sobre a instância, como o endpoint de descoberta, a contagem de fragmentos e a contagem de réplicas.

"Como é possível otimizar o Memorystore for Valkey para aplicativos com muitos dados?"

Para aumentar significativamente a capacidade da CPU e a capacidade de processamento de memória desses aplicativos, é possível escalonar uma instância do Memorystore for Valkey aumentando a contagem de fragmentos da instância. O agente de IA do servidor do MCP do Memorystore for Valkey usa a ferramenta update_instance do MCP para atualizar a contagem de fragmentos da instância.

"Como é possível proteger seus dados contra falhas que podem ocorrer em uma instância do Memorystore for Valkey ou na região em que ela está localizada?"

Crie um backup da instância do Memorystore for Valkey. Se ocorrer uma falha regional ou de instância, será possível restaurar os dados para uma nova instância para retomar as operações. O agente de IA do servidor do MCP do Memorystore for Valkey usa a ferramenta backup_instance do MCP para criar um backup da instância.

Configurações opcionais de segurança

O MCP introduz novos riscos e considerações de segurança devido à grande variedade de ações que podem ser realizadas com as ferramentas do MCP. Para minimizar e gerenciar esses riscos, Google Cloud o oferece configurações padrão e políticas personalizáveis para controlar o uso de ferramentas do MCP na sua Google Cloud organização ou projeto.

Para mais informações sobre segurança e governança do MCP, consulte Segurança e proteção de IA.

Usar o Model Armor

O Model Armor é um Google Cloud serviço projetado para aumentar a segurança e a segurança dos aplicativos de IA. Ele funciona verificando proativamente comandos e respostas de LLMs, protegendo contra vários riscos e oferecendo suporte a práticas IA responsável. Se você estiver implantando a IA no ambiente de nuvem ou em provedores de nuvem externos, o Model Armor poderá ajudar a evitar entradas maliciosas, verificar a segurança do conteúdo, proteger dados sensíveis, manter a conformidade e aplicar suas políticas de segurança de IA de forma consistente em todo o cenário de IA.

Quando o Model Armor está ativado com a geração de registros ativada, ele registra todo o payload. Isso pode expor informações sensíveis nos registros.

Ativar o Model Armor

É necessário ativar as APIs do Model Armor antes de usar o Model Armor.

Console

  1. Ative a API Model Armor.

    Funções necessárias para ativar APIs

    Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

    Ativar a API

  2. Selecione o projeto em que você quer ativar o Model Armor.

gcloud

Antes de começar, siga estas etapas usando a Google Cloud CLI com a API Model Armor:

  1. No Google Cloud console, ative o Cloud Shell.

    Ativar o Cloud Shell

    Na parte de baixo do Google Cloud console, uma sessão do Cloud Shell é iniciada e exibe um prompt de linha de comando. O Cloud Shell é um ambiente shell com a Google Cloud CLI já instalada e com valores já definidos para o projeto atual. A inicialização da sessão pode levar alguns segundos.

  2. Execute o seguinte comando para definir o endpoint de API para o serviço Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Substitua LOCATION pela região em que você quer usar o Model Armor.

Configurar a proteção para servidores do MCP do Google e Google Cloud remotos

Para ajudar a proteger as chamadas e respostas da ferramenta do MCP, use as configurações mínimas do Model Armor. Uma configuração mínima define os filtros de segurança mínimos que se aplicam ao projeto. Essa configuração aplica um conjunto consistente de filtros a todas as chamadas e respostas da ferramenta do MCP no projeto.

Configure uma configuração mínima do Model Armor com a higienização do MCP ativada. Para mais informações, consulte Configurar as configurações mínimas do Model Armor.

Consulte o exemplo de comando a seguir:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Substitua PROJECT_ID pelo ID do Google Cloud projeto.

Observe as seguintes configurações:

  • INSPECT_AND_BLOCK: o tipo de aplicação que inspeciona o conteúdo do servidor do MCP do Google e bloqueia comandos e respostas que correspondem aos filtros.
  • ENABLED: a configuração que ativa um filtro ou aplicação.
  • MEDIUM_AND_ABOVE: o nível de confiança para as configurações de filtro de IA responsável - perigoso. É possível modificar essa configuração, embora valores mais baixos possam resultar em mais falsos positivos. Para mais informações, consulte Níveis de confiança do Model Armor.

Desativar a verificação do tráfego do MCP com o Model Armor

Para impedir que o Model Armor verifique automaticamente o tráfego de e para servidores do MCP do Google com base nas configurações mínimas do projeto, execute o seguinte comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Substitua PROJECT_ID pelo Google Cloud ID do projeto. O Model Armor não aplica automaticamente as regras definidas nas configurações mínimas desse projeto a nenhum tráfego do servidor do MCP do Google.

As configurações mínimas do Model Armor e a configuração geral podem afetar mais do que apenas o MCP. Como o Model Armor se integra a serviços como a Vertex AI, qualquer mudança feita nas configurações mínimas pode afetar a verificação de tráfego e os comportamentos de segurança em todos os serviços integrados, não apenas no MCP.

Controlar o uso do MCP com políticas de negação do IAM

As políticas de negação do Identity and Access Management (IAM) ajudam a proteger Google Cloud servidores do MCP remotos. Configure essas políticas para bloquear o acesso indesejado à ferramenta do MCP.

Por exemplo, é possível negar ou permitir o acesso com base em:

  • O principal
  • Propriedades da ferramenta, como somente leitura
  • O ID do cliente OAuth do aplicativo

Para mais informações, consulte Controlar o uso do MCP com o Identity and Access Management.

A seguir