使用遠端 MCP 伺服器，從 AI 應用程式連線至 Memorystore for Valkey

本文說明如何使用 Memorystore for Valkey 遠端 Model Context Protocol (MCP) 伺服器，連線至 AI 應用程式，包括 Gemini CLI、ChatGPT、Claude，以及您開發的自訂應用程式。透過 Memorystore for Valkey 遠端 MCP 伺服器，您可以在由 AI 技術支援的開發環境和 AI 代理平台中，管理 Memorystore for Valkey 執行個體和備份。

啟用 Memorystore for Valkey API 時，系統會啟用 Memorystore for Valkey 遠端 MCP 伺服器。

Model Context Protocol (MCP) 標準可將大型語言模型 (LLM) 和 AI 應用程式/代理程式連結至外部資料來源的方式標準化。MCP 伺服器可讓您使用工具、資源和提示，從後端服務採取行動及取得更新資料。

本機和遠端 MCP 伺服器有何不同？

本機 MCP 伺服器: 通常在本機執行，並使用標準輸入和輸出串流 (stdio) 在同一部裝置上的服務之間通訊。
遠端 MCP 伺服器: 在服務的基礎架構上執行，並為 AI 應用程式提供 HTTP 端點，供 AI MCP 用戶端與 MCP 伺服器通訊。如要進一步瞭解 MCP 架構，請參閱 MCP 架構。

Google 和 Google Cloud 遠端 MCP 伺服器

Google 和 Google Cloud 遠端 MCP 伺服器具備下列功能和優點：

簡化集中式探索作業。
管理全域或區域 HTTP 端點。
精細授權。
可選用 Model Armor 防護功能，確保提示詞和回覆安全無虞。
集中式稽核記錄。

如要瞭解其他 MCP 伺服器，以及 Google Cloud MCP 伺服器適用的安全性與控管措施，請參閱 Google Cloud MCP 伺服器總覽。

事前準備

登入 Google Cloud 帳戶。如果您是 Google Cloud新手，歡迎建立帳戶，親自評估產品在實際工作環境中的成效。新客戶還能獲得價值 $300 美元的免費抵免額，可用於執行、測試及部署工作負載。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Valkey API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

安裝 Google Cloud CLI。

注意：如果您先前已安裝 gcloud CLI，請執行 gcloud components update，確認您使用的是最新版本。

若您採用的是外部識別資訊提供者 (IdP)，請先使用聯合身分登入 gcloud CLI。

執行下列指令，初始化 gcloud CLI：

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

Enable the Memorystore for Valkey API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

安裝 Google Cloud CLI。

注意：如果您先前已安裝 gcloud CLI，請執行 gcloud components update，確認您使用的是最新版本。

若您採用的是外部識別資訊提供者 (IdP)，請先使用聯合身分登入 gcloud CLI。

執行下列指令，初始化 gcloud CLI：

gcloud init

必要的角色

如要取得使用 Memorystore for Valkey MCP 伺服器所需的權限，請要求管理員在您要使用 Memorystore for Valkey MCP 伺服器的專案中，授予下列 IAM 角色：

發出 MCP 工具呼叫： MCP 工具使用者 (roles/mcp.toolUser)
建立 Memorystore for Valkey 執行個體： Memorystore 管理員 (roles/memorystore.admin)
建立 Memorystore for Valkey 使用者： Memorystore 管理員 (roles/memorystore.admin)
取得 Memorystore for Valkey 執行個體，或列出專案中的所有 Memorystore for Valkey 執行個體： Memorystore 檢視者 (roles/memorystore.viewer)
列出 Memorystore for Valkey 使用者： Memorystore 檢視者 (roles/memorystore.viewer)
管理服務使用情形政策：服務使用情形管理員 (roles/serviceusage.serviceUsageAdmin)

如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

這些預先定義的角色具備使用 Memorystore for Valkey MCP 伺服器所需的權限。如要查看確切的必要權限，請展開「Required permissions」(必要權限) 部分：

所需權限

如要使用 Memorystore for Valkey MCP 伺服器，您必須具備下列權限：

取得服務使用政策資訊： serviceusage.mcppolicy.get
更新服務使用政策： serviceusage.mcppolicy.update
呼叫 MCP 工具： mcp.tools.call
建立 Memorystore for Valkey 執行個體： memorystore.instances.create
列出 Memorystore for Valkey 執行個體： memorystore.instances.list
取得 Memorystore for Valkey 執行個體相關資訊： memorystore.instances.get
複製 Memorystore for Valkey 執行個體： memorystore.instances.create
更新 Memorystore for Valkey 執行個體： memorystore.instances.update
備份 Memorystore for Valkey 執行個體： memorystore.instances.backup
刪除 Memorystore for Valkey 執行個體： memorystore.instances.delete

您或許還可透過自訂角色或其他預先定義的角色取得這些權限。

驗證及授權

Memorystore for Valkey MCP 伺服器會使用 OAuth 2.0 通訊協定搭配 Identity and Access Management (IAM) 進行驗證和授權。所有Google Cloud 身分皆支援 MCP 伺服器的驗證。

Memorystore for Valkey 遠端 MCP 伺服器接受 API 金鑰。

建議您使用 MCP 工具為代理商建立個別身分，以便控管及監控資源存取權。如要進一步瞭解驗證，請參閱「向 Google 和 MCP 伺服器進行驗證」。 Google Cloud

Memorystore for Valkey MCP OAuth 範圍

OAuth 2.0 會使用範圍和憑證，判斷經過驗證的主體是否獲得授權，可對資源執行特定動作。如要進一步瞭解 Google 的 OAuth 2.0 範圍，請參閱「使用 OAuth 2.0 存取 Google API」。

Memorystore for Valkey 具有下列 MCP 工具 OAuth 範圍：

範圍 URI	說明
`https://www.googleapis.com/auth/memorystore.read-write`	建立、列出、備份、更新及刪除執行個體。

設定 MCP 用戶端，以使用 Memorystore for Valkey MCP 伺服器

AI 應用程式和代理程式 (例如 Claude 或 Gemini CLI) 可以例項化 MCP 用戶端，並連線至單一 MCP 伺服器。AI 應用程式可有多個連至不同 MCP 伺服器的用戶端。如要連線至遠端 MCP 伺服器，MCP 用戶端至少須知道遠端 MCP 伺服器的網址。

在 AI 應用程式中，尋找連線至遠端 MCP 伺服器的方法。系統會提示你輸入伺服器的詳細資料，例如名稱和網址。

如果是 Memorystore for Valkey MCP 伺服器，請視需要輸入下列內容：

伺服器名稱：Memorystore for Valkey MCP 伺服器
伺服器網址或端點：https://memorystore.googleapis.com/mcp
傳輸：HTTP
驗證詳細資料：視驗證方式而定，您可以輸入 Google Cloud 憑證、OAuth 用戶端 ID 和密鑰，或是代理程式身分和憑證。如要進一步瞭解驗證，請參閱「向 Google 和 MCP 伺服器進行驗證」。 Google Cloud
OAuth 範圍：連線至 Memorystore for Valkey MCP 伺服器時要使用的 OAuth 2.0 範圍。

如需特定主機的指引，請參閱下列文章：

如需更多一般指引，請參閱下列資源：

可用的工具

如要查看可用的 MCP 工具詳細資料和說明，請參閱 Memorystore for Valkey MCP 參考資料。

列出工具

使用 MCP Inspector 列出工具，或直接將 tools/list HTTP 要求傳送至 Memorystore for Valkey 遠端 MCP 伺服器。tools/list 方法不需要驗證。

POST /mcp HTTP/1.1
Host: memorystore.googleapis.com
Content-Type: application/json

{
  "jsonrpc": "2.0",
  "method": "tools/list",
}

應用實例

以下是 Memorystore for Valkey MCP 伺服器的應用實例：

「為什麼要建立啟用 IAM 驗證的 Memorystore for Valkey 區域執行個體？」

建立這類執行個體時，系統會捨棄靜態密碼，改用集中式短期憑證，確保區域工作負載的高度安全性。Memorystore for Valkey MCP 伺服器的 AI 代理會使用 create_instance MCP 工具建立執行個體。

「Why do you view all active Memorystore for Valkey instances in a specific region?」(為什麼要查看特定區域中所有有效的 Memorystore for Valkey 執行個體？)

列出這些執行個體，可確保資源符合目前的架構。Memorystore for Valkey MCP 伺服器的 AI 代理會使用 list_instances MCP 工具，擷取指定區域中執行個體的格式化清單。

「為什麼要從特定區域的 Memorystore for Valkey 執行個體擷取連線端點和作業中繼資料？」

您需要這項資訊才能整合應用程式及維護系統。 Memorystore for Valkey MCP 伺服器的 AI 代理會使用 get_instance MCP 工具，擷取執行個體的相關資訊，例如探索端點、分片數和副本數。

「如何為資料密集型應用程式最佳化 Memorystore for Valkey？」

如要大幅提升這些應用程式的 CPU 容量和記憶體處理量，可以增加執行個體的分片數，藉此擴充 Memorystore for Valkey 執行個體。Memorystore for Valkey MCP 伺服器的 AI 代理會使用 update_instance MCP 工具，更新執行個體的分片數量。

「如何保護資料，避免因 Memorystore for Valkey 執行個體或所在區域發生故障而遺失？」

建立 Memorystore for Valkey 執行個體的備份。如果發生區域或執行個體故障，您可以將資料還原至新執行個體，以繼續作業。Memorystore for Valkey MCP 伺服器的 AI 代理會使用 backup_instance MCP 工具建立執行個體的備份。

選用的安全防護設定

由於您可以使用 MCP 工具執行各種動作，MCP 會帶來新的安全風險和考量。為盡量減少及管理這些風險， Google Cloud 提供預設和可自訂的政策，控管機構或專案中 MCP 工具的使用情形。 Google Cloud

如要進一步瞭解 MCP 安全性和控管措施，請參閱這篇文章。

Model Armor

Model Armor 是一項 Google Cloud 服務，可提高 AI 應用程式的安全性。這項功能會主動篩選 LLM 提示詞和回覆、防範各種風險，並支援負責任的 AI 做法。無論您是在雲端環境或外部雲端供應商部署 AI，Model Armor 都能協助您防範惡意輸入、驗證內容安全性、保護私密資料、維持法規遵循狀態，並在多元的 AI 環境中，持續強制執行 AI 安全防護政策。

Model Armor 適用於特定地區位置。如果為專案啟用 Model Armor，且對該專案的呼叫來自不支援的區域，Model Armor 就會進行跨區域呼叫。詳情請參閱「Model Armor 適用地區」。

啟用 Model Armor

您必須先啟用 Model Armor API，才能使用 Model Armor。

控制台

啟用 Model Armor API。
啟用 API 時所需的角色
如要啟用 API，您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin)，其中包含 serviceusage.services.enable 權限。瞭解如何授予角色。
啟用 API
選取要啟用 Model Armor 的專案。

gcloud

開始前，請使用 Google Cloud CLI 搭配 Model Armor API 執行下列步驟：

在 Google Cloud 控制台中啟用 Cloud Shell。

啟用 Cloud Shell

Google Cloud 主控台底部會開啟一個 Cloud Shell 工作階段，並顯示指令列提示。Cloud Shell 是已安裝 Google Cloud CLI 的殼層環境，並已針對您目前的專案設定好相關值。工作階段可能要幾秒鐘的時間才能初始化。
執行下列指令，為 Model Armor 服務設定 API 端點。
```
gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"
```
將 LOCATION 替換為要使用 Model Armor 的區域。

設定 Google 和 Google Cloud 遠端 MCP 伺服器的防護功能

如要保護 MCP 工具呼叫和回應，可以使用 Model Armor 底限設定。底限設定會定義專案適用的最低安全性篩選條件。這項設定會對專案中的所有 MCP 工具呼叫和回應套用一致的篩選器。

設定啟用 MCP 消毒功能的 Model Armor 底限設定。詳情請參閱「設定 Model Armor 底價」。

請參閱下列指令範例：

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

將 PROJECT_ID 替換為 Google Cloud 專案 ID。

請注意下列設定：

INSPECT_AND_BLOCK：強制執行類型，可檢查 Google MCP 伺服器的內容，並封鎖符合篩選條件的提示和回覆。
ENABLED：啟用篩選器或強制執行的設定。
MEDIUM_AND_ABOVE：負責任的 AI 技術 - 危險篩選器設定的信心水準。您可以修改這項設定，但較低的值可能會導致更多誤判。詳情請參閱「Model Armor 信心水準」。

停用 Model Armor 的 MCP 流量掃描功能

如要停止使用 Model Armor 掃描 Google MCP 流量，請執行下列指令：

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER