Ho un problema simile. Ho un contenitore Debian nspawn con Docker all'interno. Il mongo l'immagine non è stata avviata perché mlock le chiamate di sistema sono state negate.
Avevo la seguente configurazione nel mio /etc/systemd/nspawn/machine.nspawn :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Ho risolto il mio problema aggiungendo @memlock a SystemCallFilter .
Nel tuo caso, se non hai un Capability=all riga nel tuo machine.nspawn file, devi avere almeno Capability=CAP_IPC_LOCK .
