Mam podobny problem. Mam kontener nspawn Debiana z Dockerem w środku. mongo obraz nie został uruchomiony, ponieważ mlock wywołania systemowe zostały odrzucone.
Miałem następującą konfigurację w moim /etc/systemd/nspawn/machine.nspawn :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Rozwiązałem swój problem, dodając @memlock do SystemCallFilter .
W Twoim przypadku, jeśli nie masz Capability=all wiersz w Twoim machine.nspawn plik, musisz mieć co najmniej Capability=CAP_IPC_LOCK .
