Tôi gặp một vấn đề tương tự. Tôi có một vùng chứa Debian nspawn với Docker bên trong. mongo không thể khởi chạy hình ảnh do mlock các cuộc gọi hệ thống đã bị từ chối.
Tôi có cấu hình sau trong /etc/systemd/nspawn/machine.nspawn của mình :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
Tôi đã giải quyết vấn đề của mình bằng cách thêm @memlock tới SystemCallFilter .
Trong trường hợp của bạn, nếu bạn không có Capability=all dòng trong machine.nspawn của bạn , bạn cần có ít nhất Capability=CAP_IPC_LOCK .
