Über den Remote-MCP-Server eine Verbindung zu Memorystore for Valkey von KI-Anwendungen aus herstellen

In diesem Dokument erfahren Sie, wie Sie den Remote-MCP-Server (Model Context Protocol) von Memorystore for Valkey verwenden, um eine Verbindung zu KI-Anwendungen wie der Gemini-Befehlszeile, ChatGPT, Claude und benutzerdefinierten Anwendungen herzustellen, die Sie entwickeln. Mit dem Remote-MCP-Server für Memorystore for Valkey können Sie Memorystore for Valkey-Instanzen und ‑Sicherungen über Ihre KI-fähigen Entwicklungsumgebungen und KI-Agentenplattformen verwalten.

Der Remote-MCP-Server für Memorystore for Valkey wird aktiviert, wenn Sie die Memorystore for Valkey API aktivieren.

Das Model Context Protocol (MCP) standardisiert die Verbindung von Large Language Models (LLMs) und KI-Anwendungen oder ‑Agents mit externen Datenquellen. Mit MCP-Servern können Sie die zugehörigen Tools, Ressourcen und Prompts verwenden, um Aktionen auszuführen und aktualisierte Daten vom Backend-Dienst abzurufen.

Was ist der Unterschied zwischen lokalen und Remote-MCP-Servern?

Lokale MCP-Server
werden in der Regel auf Ihrem lokalen Computer ausgeführt und verwenden die Standard-Ein- und Ausgabestreams (stdio) für die Kommunikation zwischen Diensten auf demselben Gerät.
Remote-MCP-Server
Auf der Infrastruktur des Dienstes ausgeführt und bietet einen HTTP-Endpunkt für KI-Anwendungen zur Kommunikation zwischen dem KI-MCP-Client und dem MCP-Server. Weitere Informationen zur MCP-Architektur finden Sie unter MCP-Architektur.

Google- und Google Cloud Remote-MCP-Server

Google- und Google Cloud Remote-MCP-Server bieten folgende Funktionen und Vorteile:

  • Vereinfachte, zentrale Suche.
  • Verwaltete globale oder regionale HTTP-Endpunkte.
  • Detaillierte Autorisierung.
  • Optionale Prompt- und Antwortsicherheit mit Model Armor-Schutz.
  • Zentralisiertes Audit-Logging.

Informationen zu anderen MCP-Servern sowie zu den Sicherheits- und Governance-Kontrollen, die für Google Cloud-MCP-Server verfügbar sind, finden Sie unter Google Cloud-MCP-Server – Übersicht.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Enable the Memorystore for Valkey API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. Installieren Sie die Google Cloud CLI.

  6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  9. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  10. Enable the Memorystore for Valkey API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  11. Installieren Sie die Google Cloud CLI.

  12. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  13. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, in dem Sie den Memorystore for Valkey MCP-Server verwenden möchten, um die Berechtigungen zu erhalten, die Sie dafür benötigen:

  • MCP-Tool-Aufrufe ausführen: MCP Tool User (roles/mcp.toolUser)
  • Memorystore for Valkey-Instanz erstellen: Memorystore Admin (roles/memorystore.admin)
  • So erstellen Sie einen Memorystore for Valkey-Nutzer: Memorystore Admin (roles/memorystore.admin)
  • So rufen Sie eine Memorystore for Valkey-Instanz ab oder listen alle Memorystore for Valkey-Instanzen in einem Projekt auf: Memorystore Viewer (roles/memorystore.viewer)
  • Memorystore for Valkey-Nutzer auflisten: Memorystore Viewer (roles/memorystore.viewer)
  • Richtlinien zur Dienstnutzung verwalten: Service Usage Admin (roles/serviceusage.serviceUsageAdmin)

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierten Rollen enthalten die Berechtigungen, die für die Verwendung des Memorystore for Valkey MCP-Servers erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um den Memorystore for Valkey MCP-Server zu verwenden:

  • Informationen zu einer Richtlinie zur Dienstnutzung abrufen: serviceusage.mcppolicy.get
  • Dienstnutzungsrichtlinie aktualisieren: serviceusage.mcppolicy.update
  • MCP-Tool-Aufrufe ausführen: mcp.tools.call
  • So erstellen Sie eine Memorystore for Valkey-Instanz: memorystore.instances.create
  • Memorystore for Valkey-Instanzen auflisten: memorystore.instances.list
  • Informationen zu einer Memorystore for Valkey-Instanz abrufen: memorystore.instances.get
  • Klonen Sie eine Memorystore for Valkey-Instanz: memorystore.instances.create
  • Memorystore for Valkey-Instanz aktualisieren: memorystore.instances.update
  • Memorystore for Valkey-Instanz sichern: memorystore.instances.backup
  • Memorystore for Valkey-Instanz löschen: memorystore.instances.delete

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Authentifizierung und Autorisierung

Memorystore for Valkey MCP-Server verwenden das OAuth 2.0-Protokoll mit Identity and Access Management (IAM) für die Authentifizierung und Autorisierung. Alle Google Cloud Identitäten werden für die Authentifizierung bei MCP-Servern unterstützt.

Der Remote-MCP-Server von Memorystore for Valkey akzeptiert API-Schlüssel.

Wir empfehlen, eine separate Identität für Kundenservicemitarbeiter zu erstellen, die MCP-Tools verwenden, damit der Zugriff auf Ressourcen gesteuert und überwacht werden kann. Weitere Informationen zur Authentifizierung finden Sie unter Bei Google- und Google Cloud MCP-Servern authentifizieren.

Memorystore for Valkey – OAuth-Bereich für MCP

OAuth 2.0 verwendet einen Bereich und Anmeldedaten, um zu ermitteln, ob ein authentifiziertes Hauptkonto autorisiert ist, eine bestimmte Aktion für eine Ressource auszuführen. Weitere Informationen zu OAuth 2.0-Bereichen bei Google finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen.

Memorystore for Valkey hat den folgenden OAuth-Bereich für das MCP-Tool:

Bereichs-URI Beschreibung
https://www.googleapis.com/auth/memorystore.read-write Instanzen erstellen, auflisten, sichern, aktualisieren und löschen.

MCP-Client für die Verwendung des Memorystore for Valkey-MCP-Servers konfigurieren

KI-Anwendungen und ‑Agents wie Claude oder die Gemini CLI können einen MCP-Client instanziieren, der eine Verbindung zu einem einzelnen MCP-Server herstellt. Eine KI-Anwendung kann mehrere Clients haben, die eine Verbindung zu verschiedenen MCP-Servern herstellen. Um eine Verbindung zu einem Remote-MCP-Server herzustellen, muss der MCP-Client mindestens die URL des Remote-MCP-Servers kennen.

Suchen Sie in Ihrer KI-Anwendung nach einer Möglichkeit, eine Verbindung zu einem Remote-MCP-Server herzustellen. Sie werden aufgefordert, Details zum Server einzugeben, z. B. den Namen und die URL.

Geben Sie für den Memorystore for Valkey-MCP-Server Folgendes ein:

  • Servername: Memorystore for Valkey-MCP-Server
  • Server-URL oder Endpunkt: https://memorystore.googleapis.com/mcp
  • Transport: HTTP
  • Authentifizierungsdetails: Je nachdem, wie Sie sich authentifizieren möchten, können Sie Ihre Google Cloud Anmeldedaten, Ihre OAuth-Client-ID und Ihr Secret oder eine Agent-Identität und Anmeldedaten eingeben. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung bei Google- und Google Cloud MCP-Servern.
  • OAuth-Bereich: der OAuth 2.0-Bereich, den Sie beim Herstellen einer Verbindung zum Memorystore for Valkey MCP-Server verwenden möchten.

Hostspezifische Anleitungen finden Sie hier:

Allgemeine Informationen finden Sie in den folgenden Ressourcen:

Verfügbare Tools

Details zu verfügbaren MCP-Tools und deren Beschreibungen für den Memorystore for Valkey-MCP-Server finden Sie in der Memorystore for Valkey-MCP-Referenz.

Tools für Listen

Verwenden Sie den MCP Inspector, um Tools aufzulisten, oder senden Sie eine tools/list-HTTP-Anfrage direkt an den Remote-MCP-Server von Memorystore for Valkey. Für die Methode tools/list ist keine Authentifizierung erforderlich.

POST /mcp HTTP/1.1
Host: memorystore.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

Beispiele für Anwendungsfälle

Im Folgenden finden Sie Beispielanwendungsfälle für den Memorystore for Valkey MCP-Server:

„Warum erstellen Sie eine regionale Memorystore for Valkey-Instanz mit aktivierter IAM-Authentifizierung?“

Durch das Erstellen dieser Art von Instanz werden statische Passwörter durch zentralisierte, kurzlebige Anmeldedaten für hochsichere, regionale Arbeitslasten ersetzt. Der KI-Agent des Memorystore for Valkey-MCP-Servers verwendet das MCP-Tool create_instance, um die Instanz zu erstellen.

„Warum werden alle aktiven Memorystore for Valkey-Instanzen in einer bestimmten Region angezeigt?“

Wenn Sie diese Instanzen auflisten, können Sie dafür sorgen, dass die Ressourcen Ihrer aktuellen Architektur entsprechen. Der KI-Agent des Memorystore for Valkey-MCP-Servers verwendet das MCP-Tool list_instances, um eine formatierte Liste von Instanzen in der angegebenen Region abzurufen.

„Warum werden Verbindungsendpunkte und Betriebsmetadaten aus einer Memorystore for Valkey-Instanz in einer bestimmten Region abgerufen?“

Sie benötigen diese Informationen für die Anwendungsintegration und Systemwartung. Der KI-Agent des Memorystore for Valkey-MCP-Servers verwendet das get_instance-MCP-Tool, um Informationen zur Instanz abzurufen, z. B. den Discovery-Endpunkt, die Anzahl der Shards und die Anzahl der Replikate.

„Wie kann ich Memorystore for Valkey für meine datenintensiven Anwendungen optimieren?“

Um sowohl die CPU-Kapazität als auch den Speicherdurchsatz für diese Anwendungen deutlich zu erhöhen, können Sie eine Memorystore for Valkey-Instanz skalieren, indem Sie die Anzahl der Shards der Instanz erhöhen. Der KI-Agent des Memorystore for Valkey-MCP-Servers verwendet das update_instance-MCP-Tool, um die Anzahl der Shards für die Instanz zu aktualisieren.

„Wie können Sie Ihre Daten vor Fehlern schützen, die entweder durch eine Memorystore for Valkey-Instanz oder durch die Region, in der sie sich befindet, auftreten können?“

Erstellen Sie eine Sicherung der Memorystore for Valkey-Instanz. Wenn ein regionaler Ausfall oder ein Instanzausfall auftritt, können Sie Ihre Daten auf einer neuen Instanz wiederherstellen, um den Betrieb fortzusetzen. Der KI-Agent des Memorystore for Valkey-MCP-Servers verwendet das MCP-Tool backup_instance, um eine Sicherung der Instanz zu erstellen.

Optionale Sicherheitskonfigurationen

Aufgrund der Vielzahl von Aktionen, die Sie mit MCP-Tools ausführen können, birgt MCP neue Sicherheitsrisiken und ‑aspekte. Um diese Risiken zu minimieren und zu verwalten, bietet Google Cloud Standardeinstellungen und anpassbare Richtlinien, mit denen Sie die Verwendung von MCP-Tools in Ihrer Google Cloud Organisation oder Ihrem Projekt steuern können.

Weitere Informationen zur Sicherheit und Governance von MCP finden Sie unter KI-Sicherheit.

Model Armor

Model Armor ist ein Google Cloud Dienst, der die Sicherheit Ihrer KI-Anwendungen verbessern soll. Das System überwacht und kontrolliert sowohl die Prompts als auch die Antworten des LLM, um Sie vor verschiedenen Risiken zu schützen und für verantwortungsbewusste Anwendung von KI zu sorgen. Unabhängig davon, ob Sie KI in Ihrer Cloud-Umgebung oder bei externen Cloud-Anbietern bereitstellen, kann Model Armor Ihnen helfen, schädliche Eingaben zu verhindern, die Sicherheit von Inhalten zu überprüfen, sensible Daten zu schützen, die Compliance aufrechtzuerhalten und Ihre KI-Sicherheitsrichtlinien in Ihrer vielfältigen KI-Landschaft einheitlich durchzusetzen.

Model Armor ist an bestimmten regionalen Standorten verfügbar. Wenn Sie Model Armor für ein Projekt aktivieren und ein Aufruf an dieses Projekt aus einer nicht unterstützten Region erfolgt, führt Model Armor einen regionenübergreifenden Aufruf aus. Weitere Informationen finden Sie unter Model Armor-Standorte.

Model Armor aktivieren

Sie müssen Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Console

  1. Aktivieren Sie die Model Armor API.

    Rollen, die zum Aktivieren von APIs erforderlich sind

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

    API aktivieren

  2. Wählen Sie das Projekt aus, für das Sie Model Armor aktivieren möchten.

gcloud

Führen Sie die folgenden Schritte mit der Google Cloud CLI und der Model Armor API aus, bevor Sie beginnen:

  1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

    Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

  2. Führen Sie den folgenden Befehl aus, um den API-Endpunkt für den Model Armor-Dienst festzulegen.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ersetzen Sie LOCATION durch die Region, in der Sie Model Armor verwenden möchten.

Schutz für Google- und Google Cloud Remote-MCP-Server konfigurieren

Mit den Mindesteinstellungen für Model Armor können Sie Ihre MCP-Toolaufrufe und ‑Antworten schützen. Eine Mindesteinstellung definiert die Mindestsicherheitsfilter, die für das gesamte Projekt gelten. Mit dieser Konfiguration wird ein einheitlicher Satz von Filtern auf alle MCP-Tool-Aufrufe und ‑Antworten im Projekt angewendet.

Richten Sie eine Model Armor-Mindesteinstellung mit aktivierter MCP-Bereinigung ein. Weitere Informationen finden Sie unter Model Armor-Untergrenzeneinstellungen konfigurieren.

Hier ein Beispielbefehl:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ersetzen Sie dabei PROJECT_ID durch die ID Ihres Projekts in Google Cloud .

Beachten Sie die folgenden Einstellungen:

  • INSPECT_AND_BLOCK: Der Erzwingungstyp, der Inhalte für den Google MCP-Server prüft und Prompts und Antworten blockiert, die den Filtern entsprechen.
  • ENABLED: Die Einstellung, die einen Filter oder die Erzwingung ermöglicht.
  • MEDIUM_AND_ABOVE: Das Konfidenzniveau für die Filter für verantwortungsbewusste KI – gefährlich. Sie können diese Einstellung ändern. Niedrigere Werte können jedoch zu mehr falsch positiven Ergebnissen führen. Weitere Informationen finden Sie unter Vertrauenswürdigkeitsstufen für Model Armor.

Scannen von MCP-Traffic mit Model Armor deaktivieren

Wenn Sie das Scannen von Google MCP-Traffic mit Model Armor beenden möchten, führen Sie den folgenden Befehl aus:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ersetzen Sie PROJECT_ID durch die Google Cloud Projekt-ID.

Model Armor scannt keinen MCP-Traffic im Projekt.

MCP-Nutzung mit IAM-Ablehnungsrichtlinien steuern

IAM-Richtlinien (Identity and Access Management) zur Zugriffsbeschränkung helfen Ihnen, Google Cloud Remote-MCP-Server zu schützen. Konfigurieren Sie diese Richtlinien, um unerwünschten Zugriff auf MCP-Tools zu blockieren.

Sie können den Zugriff beispielsweise basierend auf folgenden Kriterien verweigern oder zulassen:

  • Der Prinzipal
  • Tooleigenschaften wie „schreibgeschützt“
  • Die OAuth-Client-ID der Anwendung

Weitere Informationen finden Sie unter MCP-Nutzung mit Identity and Access Management steuern.