看起来你遇到的问题是在只读模式的Cloud SDK容器里执行镜像扫描命令时，提取镜像内容失败，但其他gcloud命令正常——这大概率和容器的运行限制或者缺少依赖有关，我整理了几个可能的解决方向，你可以逐一尝试：

1. 解除容器的只读限制，或挂载可写临时目录 #

gcloud artifacts docker images scan在执行远程扫描时，需要临时下载/提取镜像的部分内容到本地，而你启动容器时用了--read-only参数，容器内的文件系统是只读的，这会导致命令无法写入临时文件，从而触发提取失败的错误。

你可以尝试两种方式：

• 直接去掉--read-only参数，重新启动容器：

docker run --rm -it \
--volume "$HOME/.config/gcloud:/root/.config/gcloud" \
--entrypoint /bin/bash \
google/cloud-sdk:latest

• 或者保留只读模式，但单独挂载/tmp目录为可写（扫描命令通常会用到这个临时目录）：

docker run --rm -it \
--read-only \
--volume "$HOME/.config/gcloud:/root/.config/gcloud" \
--volume "/tmp:/tmp" \
--entrypoint /bin/bash \
google/cloud-sdk:latest

之后再执行扫描命令，看是否能正常完成提取步骤。

2. 安装容器内缺失的镜像提取依赖工具 #

Google Cloud SDK镜像默认可能没有预装skopeo这类用于远程镜像提取的工具，而gcloud artifacts docker images scan的远程扫描功能依赖这类工具来获取镜像内容。你可以在容器内手动安装：

apt update && apt install -y skopeo

安装完成后再重新执行扫描命令，验证是否解决问题。

3. 确认镜像URI的格式正确性 #

虽然你本地执行正常，但还是可以再检查一下$IMAGE变量的格式是否完全符合要求，正确的格式应该是：

us-docker.pkg.dev/[你的项目ID]/[仓库名称]/[镜像名称]:[标签]

确保没有拼写错误或者格式遗漏，避免因为URI格式问题导致提取失败。

如果以上方法都不行，你可以尝试在容器内增加更详细的日志输出（比如加上--log-http参数），看看能不能获取到更具体的错误信息，方便进一步排查。

备注：内容来源于stack exchange，提问作者Jordan