Jeg har et lignende problem. Jeg har en Debian nspawn-beholder med Docker indeni. mongo billedet kunne ikke startes, fordi mlock systemopkald blev afvist.
Jeg havde følgende konfiguration i min /etc/systemd/nspawn/machine.nspawn :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Jeg løste mit problem ved at tilføje @memlock til SystemCallFilter .
I dit tilfælde, hvis du ikke har en Capability=all linje i din machine.nspawn fil, skal du mindst have Capability=CAP_IPC_LOCK .