Tengo un problema similar. Tengo un contenedor nspawn de Debian con Docker dentro. El mongo la imagen no se pudo iniciar porque mlock las llamadas al sistema fueron denegadas.
Tenía la siguiente configuración en mi /etc/systemd/nspawn/machine.nspawn :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Resolví mi problema agregando @memlock a SystemCallFilter .
En su caso, si no tiene un Capability=all línea en su machine.nspawn archivo, debe tener al menos Capability=CAP_IPC_LOCK .
