Connettiti a Memorystore for Valkey dalle applicazioni AI utilizzando il server MCP remoto

Questo documento mostra come utilizzare il server Model Context Protocol (MCP) remoto di Memorystore for Valkey per connetterti ad applicazioni AI, tra cui Gemini CLI, ChatGPT, Claude e applicazioni personalizzate che stai sviluppando. Il server MCP remoto di Memorystore for Valkey ti consente di gestire le istanze e i backup di Memorystore for Valkey dagli ambienti di sviluppo abilitati all'AI e dalle piattaforme di agenti AI. Il server MCP remoto di Memorystore for Valkey viene abilitato quando abiliti l'API Memorystore for Valkey.

Il Model Context Protocol (MCP) standardizza il modo in cui i modelli linguistici di grandi dimensioni (LLM) e le applicazioni o gli agenti AI si connettono a origini dati esterne. I server MCP ti consentono di utilizzare i relativi strumenti, risorse e prompt per eseguire azioni e ottenere dati aggiornati dal servizio di backend.

Qual è la differenza tra i server MCP locali e remoti?

Server MCP locali
In genere vengono eseguiti sulla macchina locale e utilizzano i flussi di input e output standard (stdio) per la comunicazione tra i servizi sullo stesso dispositivo.
Server MCP remoti
Vengono eseguiti sull'infrastruttura del servizio e offrono un endpoint HTTP alle applicazioni AI per la comunicazione tra il client MCP AI e il server MCP. Per saperne di più sull'architettura MCP, consulta Architettura MCP.

Server MCP di Google e Google Cloud remoti

I server MCP di Google e Google Cloud remoti hanno le seguenti funzionalità e vantaggi:

  • Rilevamento semplificato e centralizzato
  • Endpoint HTTP globali o regionali gestiti
  • Autorizzazione granulare
  • Sicurezza di prompt e risposte facoltativa con la protezione Model Armor
  • Logging di audit centralizzato

Per informazioni su altri server MCP e sui controlli di sicurezza e governance disponibili per i server MCP di Google Cloud, consulta la panoramica dei server MCP di Google Cloud.

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Memorystore for Valkey API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Installa Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Memorystore for Valkey API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Installa Google Cloud CLI.

  12. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  13. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare il server MCP di Memorystore for Valkey, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto in cui vuoi utilizzare il server MCP di Memorystore for Valkey:

  • Esegui chiamate allo strumento MCP: MCP Tool User (roles/mcp.toolUser)
  • Crea un'istanza di Memorystore for Valkey: Memorystore Admin (roles/memorystore.admin)
  • Crea un utente di Memorystore for Valkey: Memorystore Admin (roles/memorystore.admin)
  • Ottieni un'istanza di Memorystore for Valkey o elenca tutte le istanze di Memorystore for Valkey in un progetto: Memorystore Viewer (roles/memorystore.viewer)
  • Elenca gli utenti di Memorystore for Valkey: Memorystore Viewer (roles/memorystore.viewer)
  • Gestisci le policy di utilizzo del servizio: Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per utilizzare il server MCP di Memorystore for Valkey. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per utilizzare il server MCP di Memorystore for Valkey sono necessarie le seguenti autorizzazioni:

  • Ottieni informazioni su una norma di utilizzo del servizio: serviceusage.mcppolicy.get
  • Aggiorna una norma di utilizzo del servizio: serviceusage.mcppolicy.update
  • Esegui chiamate allo strumento MCP: mcp.tools.call
  • Crea un'istanza di Memorystore for Valkey: memorystore.instances.create
  • Elenca le istanze di Memorystore for Valkey: memorystore.instances.list
  • Ottieni informazioni su un'istanza di Memorystore for Valkey: memorystore.instances.get
  • Clona un'istanza di Memorystore for Valkey: memorystore.instances.create
  • Aggiorna un'istanza di Memorystore for Valkey: memorystore.instances.update
  • Esegui il backup di un'istanza di Memorystore for Valkey: memorystore.instances.backup
  • Elimina un'istanza di Memorystore for Valkey: memorystore.instances.delete

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Autenticazione e autorizzazione

I server MCP di Memorystore for Valkey utilizzano il protocollo OAuth 2.0 con Identity and Access Management (IAM) per l'autenticazione e l'autorizzazione. Tutte le Google Cloud identità sono supportate per l'autenticazione ai server MCP.

Il server MCP remoto di Memorystore for Valkey accetta le chiavi API.

Ti consigliamo di creare un'identità separata per gli agenti che utilizzano gli strumenti MCP in modo che l'accesso alle risorse possa essere controllato e monitorato. Per saperne di più sull' autenticazione, consulta Autenticati ai server Google e Google Cloud MCP.

Ambito OAuth MCP di Memorystore for Valkey

OAuth 2.0 utilizza un ambito e le credenziali per determinare se un'entità autenticata è autorizzata a eseguire un'azione specifica su una risorsa. Per saperne di più sugli ambiti OAuth 2.0 in Google, consulta Utilizzare OAuth 2.0 per accedere alle API di Google.

Memorystore for Valkey ha il seguente ambito OAuth dello strumento MCP:

URI dell'ambito Descrizione
https://www.googleapis.com/auth/memorystore.read-write Crea, elenca, esegui il backup, aggiorna ed elimina le istanze.

Configura un client MCP per utilizzare il server MCP di Memorystore for Valkey

Le applicazioni e gli agenti AI, come Claude o Antigravity, possono creare un'istanza di un client MCP che si connette a un singolo server MCP. Un'applicazione AI può avere più client che si connettono a server MCP diversi. Se la tua applicazione non è elencata nelle indicazioni specifiche per il client, puoi utilizzare le seguenti informazioni per connetterti dalla maggior parte delle applicazioni.

Nell'applicazione AI, cerca un modo per aggiungere o connetterti a un server MCP remoto. Per il server MCP di Memorystore for Valkey, inserisci le seguenti informazioni, se necessario:

  • Nome server: server MCP di Memorystore for Valkey
  • URL server o endpoint: https://memorystore.googleapis.com/mcp
  • Trasporto: HTTP
  • Dettagli di autenticazione: a seconda di come vuoi autenticarti, puoi inserire le tue Google Cloud credenziali, l'ID client OAuth e il client secret o un'identità e le credenziali dell'agente. Per saperne di più sull'autenticazione, consulta Autenticati ai server Google e Google Cloud MCP.
  • Ambito OAuth: l'ambito OAuth 2.0 che vuoi utilizzare quando ti connetti al server MCP di Memorystore for Valkey.

Per indicazioni specifiche per l'applicazione sulla configurazione e la connessione al server MCP, consulta Indicazioni specifiche per il client.

Per indicazioni più generali, consulta le seguenti risorse:

Strumenti disponibili

Per visualizzare i dettagli degli strumenti MCP disponibili e le relative descrizioni per il server MCP di Memorystore for Valkey, consulta le informazioni di riferimento per MCP di Memorystore for Valkey.

Elenca gli strumenti

Utilizza MCP Inspector per elencare gli strumenti o invia una tools/list richiesta HTTP direttamente al Memorystore for Valkey server MCP remoto. Il metodo tools/list non richiede l'autenticazione.

POST /mcp HTTP/1.1
Host: memorystore.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Esempi di casi d'uso

Di seguito sono riportati alcuni esempi di casi d'uso per il server MCP di Memorystore for Valkey:

"Perché crei un'istanza regionale di Memorystore for Valkey con l'autenticazione IAM abilitata?"

La creazione di questo tipo di istanza elimina le password statiche a favore di credenziali centralizzate e di breve durata per carichi di lavoro regionali altamente sicuri. L'agente AI del server MCP di Memorystore for Valkey utilizza lo strumento MCP create_instance per creare l'istanza.

"Perché visualizzi tutte le istanze di Memorystore for Valkey attive in una regione specifica?"

Elencando queste istanze, puoi assicurarti che le risorse corrispondano all'architettura attuale. L'agente AI del server MCP di Memorystore for Valkey utilizza lo strumento MCP list_instances per recuperare un elenco formattato di istanze nella regione specificata.

"Perché recuperi gli endpoint di connessione e i metadati operativi da un'istanza di Memorystore for Valkey in una regione specifica?"

Queste informazioni sono necessarie per l'integrazione delle applicazioni e la manutenzione del sistema. L'agente AI del server MCP di Memorystore for Valkey utilizza lo strumento MCP get_instance per recuperare informazioni sull'istanza, come l'endpoint di rilevamento, il numero di shard e il numero di repliche.

"Come puoi ottimizzare Memorystore for Valkey per le tue applicazioni a uso intensivo di dati?"

Per aumentare in modo significativo sia la capacità della CPU sia la velocità effettiva della memoria per queste applicazioni, puoi scalare un'istanza di Memorystore for Valkey aumentando il numero di shard dell'istanza. L'agente AI del server MCP di Memorystore for Valkey utilizza lo strumento MCP update_instance per aggiornare il numero di shard dell'istanza.

"Come puoi proteggere i tuoi dati da errori che potrebbero verificarsi in un'istanza di Memorystore for Valkey o nella regione in cui si trova?"

Crea un backup dell'istanza di Memorystore for Valkey. Se si verifica un errore a livello di regione o istanza, puoi ripristinare i dati in una nuova istanza per riprendere le operazioni. L'agente AI del server MCP di Memorystore for Valkey utilizza lo strumento MCP backup_instance per creare un backup dell'istanza.

Configurazioni di sicurezza e protezione facoltative

MCP introduce nuovi rischi e considerazioni sulla sicurezza a causa della vasta gamma di azioni che puoi eseguire con gli strumenti MCP. Per ridurre al minimo e gestire questi rischi, Google Cloud offre impostazioni predefinite e policy personalizzabili per controllare l'utilizzo degli strumenti MCP nella tua Google Cloud organizzazione o nel tuo progetto.

Per saperne di più sulla sicurezza e la governance di MCP, consulta Sicurezza e protezione dell'AI.

Utilizza Model Armor

Model Armor è un Google Cloud servizio progettato per migliorare la sicurezza e la sicurezza delle applicazioni AI. Funziona controllando in modo proattivo i prompt e le risposte LLM, proteggendo da vari rischi e supportando le pratiche di AI responsabile. Che tu stia eseguendo il deployment dell'AI nel tuo ambiente cloud o su provider di servizi cloud esterni, Model Armor può aiutarti a prevenire input dannosi, verificare la sicurezza dei contenuti, proteggere i dati sensibili, mantenere la conformità e applicare in modo coerente le policy di sicurezza dell'AI nel tuo panorama AI diversificato.

Quando Model Armor è abilitato con il logging abilitato, Model Armor registra l'intero payload. Questo potrebbe esporre informazioni sensibili nei log.

Abilita Model Armor

Prima di poter utilizzare Model Armor, devi abilitare le API Model Armor.

Console

  1. Abilita l'API Model Armor.

    Ruoli necessari per abilitare le API

    Per abilitare le API, devi disporre del ruolo IAM Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

    Abilitare l'API

  2. Seleziona il progetto in cui vuoi attivare Model Armor.

gcloud

Prima di iniziare, segui questi passaggi utilizzando Google Cloud CLI con l'API Model Armor:

  1. Nella Google Cloud console, attiva Cloud Shell.

    Attiva Cloud Shell

    Nella parte inferiore della Google Cloud console viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già inclusa e installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

  2. Esegui questo comando per impostare l'endpoint API per il servizio Model Armor.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Sostituisci LOCATION con la regione in cui vuoi utilizzare Model Armor.

Configura la protezione per i server MCP di Google e Google Cloud remoti

Per proteggere le chiamate e le risposte degli strumenti MCP, puoi utilizzare le impostazioni di base di Model Armor. Un'impostazione di base definisce i filtri di sicurezza minimi che si applicano al progetto. Questa configurazione applica un insieme coerente di filtri a tutte le chiamate e le risposte degli strumenti MCP all'interno del progetto.

Configura un'impostazione di base di Model Armor con la sanificazione MCP abilitata. Per saperne di più, consulta Configura le impostazioni di base di Model Armor.

Vedi il seguente comando di esempio:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Sostituisci PROJECT_ID con l'ID progetto Google Cloud .

Tieni presente le seguenti impostazioni:

  • INSPECT_AND_BLOCK: il tipo di applicazione che ispeziona i contenuti del server MCP di Google e blocca i prompt e le risposte che corrispondono ai filtri.
  • ENABLED: l'impostazione che abilita un filtro o un'applicazione.
  • MEDIUM_AND_ABOVE: il livello di attendibilità per le impostazioni del filtro AI responsabile - Pericoloso. Puoi modificare questa impostazione, anche se valori inferiori potrebbero comportare un maggior numero di falsi positivi. Per saperne di più, consulta Livelli di attendibilità di Model Armor.

Disabilita la scansione del traffico MCP con Model Armor

Per impedire a Model Armor di eseguire automaticamente la scansione del traffico da e verso i server MCP di Google in base alle impostazioni di base del progetto, esegui questo comando:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Sostituisci PROJECT_ID con l' Google Cloud ID progetto. Model Armor non applica automaticamente le regole definite nelle impostazioni di base di questo progetto al traffico del server MCP di Google.

Le impostazioni di base e la configurazione generale di Model Armor possono influire su più di un solo MCP. Poiché Model Armor si integra con servizi come Vertex AI, qualsiasi modifica apportata alle impostazioni di base può influire sulla scansione del traffico e sui comportamenti di sicurezza in tutti i servizi integrati, non solo in MCP.

Controlla l'utilizzo di MCP con le policy di rifiuto IAM

Le policy di rifiuto di Identity and Access Management (IAM) ti aiutano a proteggere Google Cloud i server MCP remoti. Configura queste policy per bloccare l'accesso indesiderato agli strumenti MCP.

Ad esempio, puoi negare o consentire l'accesso in base a:

  • L'entità
  • Proprietà dello strumento come di sola lettura
  • L'ID client OAuth dell'applicazione

Per saperne di più, consulta Controlla l'utilizzo di MCP con Identity and Access Management.

Passaggi successivi