Jag har ett liknande problem. Jag har en Debian nspawn-behållare med Docker inuti. mongo Bilden kunde inte startas eftersom mlock systemsamtal nekades.
Jag hade följande konfiguration i min /etc/systemd/nspawn/machine.nspawn :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Jag löste mitt problem genom att lägga till @memlock till SystemCallFilter .
I ditt fall, om du inte har en Capability=all rad i din machine.nspawn fil måste du ha minst Capability=CAP_IPC_LOCK .