J'ai un problème similaire. J'ai un conteneur Debian nspawn avec Docker à l'intérieur. Le mongo l'image n'a pas pu être lancée car mlock les appels système ont été refusés.
J'ai eu la configuration suivante dans mon /etc/systemd/nspawn/machine.nspawn :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
J'ai résolu mon problème en ajoutant @memlock à SystemCallFilter .
Dans votre cas, si vous n'avez pas de Capability=all ligne dans votre machine.nspawn fichier, vous devez avoir au moins Capability=CAP_IPC_LOCK .
