Mám podobný problém. Mám kontejner nspawn Debianu s Dockerem uvnitř. mongo obrázek se nepodařilo spustit, protože mlock systémová volání byla zamítnuta.
V /etc/systemd/nspawn/machine.nspawn jsem měl následující konfiguraci :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Vyřešil jsem svůj problém přidáním @memlock na SystemCallFilter .
Ve vašem případě, pokud nemáte Capability=all řádku ve vašem machine.nspawn musíte mít alespoň Capability=CAP_IPC_LOCK .