同様の問題が発生しました。 Dockerを内蔵したDebiannspawnコンテナがあります。 mongo mlockが原因で、イメージを起動できませんでした システムコールが拒否されました。
/etc/systemd/nspawn/machine.nspawnに次の構成がありました :
[Exec]
Capability=all
SystemCallFilter=add_key keyctl
[Files]
Bind=/sys/fs/cgroup
@memlockを追加して問題を解決しました SystemCallFilterへ 。
あなたの場合、Capability=allがない場合 machine.nspawnの行 ファイルには、少なくともCapability=CAP_IPC_LOCKが必要です。 。