预配置的基础映像

Google Cloud 维护以下专为与 Cloud Workstations 搭配使用而设计的基础映像。

预配置基础映像的列表

这些映像可直接在工作站配置中使用，也可以在使用 Docker 的 FROM 命令创建自定义容器映像时用作基础映像。

第三方基础映像列表

如果您在使用 Posit Workbench IDE 或 Posit Workbench 容器映像时遇到问题，请在 GitHub 上向 Posit 报告这些问题。

Cloud Workstations 基础映像结构

Cloud Workstations 基本映像共享以下定义的结构：

• 基础映像入口点文件设置为 /google/scripts/entrypoint.sh。

• 在启动时，基础映像会按字典顺序运行 /etc/workstation-startup.d/* 下的文件，以初始化工作站环境。

  这些文件及其行为如下：

  • 000_configure-docker.sh：在工作站内配置和运行 Docker。

  • 010_add-user.sh：在 Cloud Workstations 中创建默认用户。

    由于永久性磁盘会动态附加到容器，因此必须在工作站启动时添加用户，而不是在 Dockerfile 中添加。

  • 020_start-sshd.sh：在容器中启动 sshd 服务。

  • 030_customize-environment.sh：以 user 的形式执行 /home/user/.workstation/customize_environment。

  • 110_start-$IDE.sh：启动映像的 IDE。

• Cloud 工作站会将 Docker 映像存储在 /home/.docker_data 的主目录中，以便在会话之间保留映像。

如需在工作站启动期间添加其他功能，请在 /etc/workstation-startup.d/ 目录中添加脚本：

• 默认情况下，此目录中的脚本会以 root 用户身份运行。如需以其他用户身份执行脚本，请使用 runuser 命令。

• 由于脚本按字典顺序执行，因此我们建议您在脚本前面添加一个大于 200 的三位数。

或者，如果您不想扩展工作站映像，可以在主目录中创建 customize_environment 脚本。

主目录修改

当工作站配置指定永久性主目录（这是默认行为）时，支持主目录的永久性磁盘会在运行时动态附加到容器。此过程会覆盖在容器映像构建时对 /home 目录所做的修改。

如需保留更新，请在容器运行时修改 /home 目录，方法是在 /etc/workstation-startup.d 目录中添加脚本，或在 /etc/profile.d 目录中添加每位用户的配置。为了加快流程速度，不妨考虑将设置脚本作为后台进程运行（在命令末尾添加一个 &），以免阻塞容器启动。

以下是一些应移至容器运行时环境的构建时配置示例：

• 按用户的 git 配置
• 克隆到主目录中的 git 代码库
• 直接用户配置，例如将文件放置在 $HOME/.config 目录中
• 创建用户

创建和修改用户

由于永久性磁盘会在运行时动态附加到容器，因此必须在工作站启动时添加用户，而不是在 Dockerfile 中添加。如需修改或创建其他用户，我们建议您更新 /etc/workstation-startup.d/010_add-user.sh，或创建在启动时执行的自定义脚本。

此外，您还可以通过更新 /etc/profile.d 中的文件来修改用户的默认 bash 配置文件。

更新预配置的安全 APT 密钥

Cloud Workstations 基础映像预安装了使用安全 APT 从各种第三方代码库获取的多种工具。在安装过程中，系统会使用 gpg 导入代码库所有者提供的公钥，并将其放入 /usr/share/keyrings/ 下的各个文件中。这些文件会从 /etc/apt/sources.list.d/ 下的相应 list 文件引用。这样，apt 便可以在与给定代码库交互时验证其完整性。

有时，第三方代码库所有者可能会决定更改用于验证其代码库完整性的公钥，这会导致 apt 在与其交互时显示错误。如需解决此潜在问题，您可以使用 /google/scripts/refresh-preinstalled-apt-keys.sh，它会获取最新版本的预安装公钥并重新导入它们。

列出已安装的 IDE 版本

多个 Cloud Workstations 基本映像都预安装了 IDE。为方便起见，请参阅随附的 /google/scripts/preinstalled-ide-versions.sh 脚本，其中列出了映像中安装的 IDE 的名称和版本信息。

关闭 sudo root 权限

默认工作站用户在这些容器中拥有 sudo root 访问权限。如需关闭对 Docker 容器的 root 访问权限，请在创建工作站配置时将 CLOUD_WORKSTATIONS_CONFIG_DISABLE_SUDO 环境变量设置为 true。

如需在创建工作站配置时通过控制台设置此环境变量，请按以下步骤操作： Google Cloud

1. 创建工作站配置时，请完成“基本信息”和“机器配置”的配置。
2. 在环境自定义对话框中，展开高级容器选项部分，然后选择环境变量。
3. 依次点击添加添加变量。
4. 输入 CLOUD_WORKSTATIONS_CONFIG_DISABLE_SUDO 和 true 作为值。

在不扩展图片的情况下进行自定义

为方便起见，所有 Cloud Workstations 基础映像都会检查是否存在位于 /home/user/.workstation/customize_environment 的可执行文件，如果存在，则将其作为 user 在后台运行。这样，您就可以在启动时运行任何脚本或二进制文件。与 .profile 或 .bashrc 不同，此脚本仅在工作站启动时运行一次，而不是每次登录 shell 时运行一次。

由于 customize_environment 脚本会以 user 的身份运行，因此在编写脚本时，请务必根据需要更新权限。例如，如果您希望在工作站每次启动时安装 Emacs，则 customize_environment 的内容可能如下所示：

#!/bin/bash
sudo apt-get update
sudo apt-get install -y emacs

customize_environment 的执行日志位于容器中的 /var/log/customize_environment，并且还会写入容器输出日志。成功执行 customize_environment 后，系统会在 /var/run/customize_environment_done 中创建一个文件。由于 customize_environment 会与工作站启动并行运行，因此脚本安装的软件包最早可在工作站启动后几分钟内使用。

后续步骤

• 自定义容器映像。
• 自动重新构建容器映像，以使用 Cloud Build 和 Cloud Scheduler 同步基础映像更新。
• 设置安全性最佳做法。