无法在优化的Google容器操作系统上运行可执行外壳脚本

Question

在任何其他linux发行版上，我都可以创建一个带有shebang的文件，并运行shell脚本，如下所示：

$ chmod +x test.sh
$ ./test.sh Johnny
hello Johnny

但是在Google平台容器优化操作系统上，我得到了-bash: ./test.sh: Permission denied

如果我以sh (例如sh test.sh Johnny )作为前缀，它就会起作用。我怎么才能让这个正常工作？

$ cat test.sh
#!/usr/bin/env sh

echo "Hello $@"

matt@rancher-4mmm /tmp/matt $ chmod +x test.sh 
matt@rancher-4mmm /tmp/matt $ sh ./test.sh matt
Hello matt

matt@rancher-4mmm /tmp/matt $ ./test.sh matt
-bash: ./test.sh: Permission denied
matt@rancher-4mmm /tmp/matt $ ls -la
total 4
drwxr-xr-x  2 matt matt  60 Feb 28 20:00 .
drwxrwxrwt 14 root root 280 Feb 28 19:59 ..
-rwxr-xr-x  1 matt matt  35 Feb 28 20:00 test.sh

Answer 1

COS节点上的大多数文件系统都使用"noexec“标志挂载，因此不能从它们执行二进制文件。

一些解决办法：

• 对于脚本，使用脚本作为参数"bash /path/script.sh“、"python /path/app.py”调用解释器。
• 在/mnt/ disk下挂载额外的数据磁盘。您可以在没有"noexec“标志的情况下挂载它。使用启动脚本在启动时挂载。

Answer 2

容器优化的OS挂载带有" noexec“标志的文件系统，除了”在可写位置中，只有/var/lib/docker和/var/lib/cloud被挂载为“可执行”(即没有noexec挂载标志)“[1]。您可以使用以下命令进行验证：

mount | grep noexec

有关容器优化OS (COS)文件系统布局的更多信息，请参阅文档。“noexec”选项不允许在挂载的文件系统上直接执行任何二进制文件。这是因为默认情况下COS上的安全锁定实现。

Answer 3

如果您想一次性运行二进制文件，并且不想处理另一个PD，也可以安装tmpfs设备并从那里运行它。

sudo mkdir /mnt/disks/scratch
sudo mount -t tmpfs tmpfs /mnt/disks/scratch/