Konfiguracja klastra HA active‑passive Sophos Firewall na dwóch węzłach Proxmox to prosty sposób, żeby z domowego lub firmowego homelabu zrobić środowisko „jak z datacenter”, z automatycznym przejęciem ruchu przy awarii jednego serwera. Całość da się zbudować wyłącznie na lokalnym storage (local‑lvm) i kilku mostkach sieciowych, bez skomplikowanego shared storage czy drogich urządzeń sprzętowych.
Architektura na dwóch węzłach Proxmox
Podstawowy schemat wygląda tak: na każdym węźle Proxmox tworzona jest osobna wirtualna maszyna Sophos Firewall z identycznymi parametrami (vCPU, RAM, liczba interfejsów). Porty wirtualne są podpinane do tych samych bridge’y Proxmoxa: jeden jako LAN, jeden jako WAN, dodatkowy jako dedykowany link HA. Dzięki temu obie instancje widzą te same sieci fizyczne, a ruch po przełączeniu z aktywnego na pasywny firewall nie wymaga żadnych zmian po stronie klientów czy przełączników.
Ważne jest, że dyski obu firewalli znajdują się na lokalnym storage każdego węzła, co upraszcza architekturę i eliminuje zależność od zewnętrznego NAS‑a czy klastra Ceph. Przy awarii jednego z hostów Proxmox drugi węzeł z pasywną instancją Sophosa pozostaje w pełni działający, ponieważ jego system, konfiguracja i dane są lokalne.
Prosta konfiguracja HA w Sophos
Po stronie Sophos konfiguracja HA active‑passive sprowadza się do kilku kroków w kreatorze: wybór trybu active‑passive, wskazanie interfejsu dedykowanego dla linku HA, ustawienie adresów IP dla tego linku oraz hasła do synchronizacji. Następnie druga instancja jest dołączana jako auxiliary i automatycznie pobiera kompletną konfigurację z primary, łącznie z licencją, regułami, profilami ochrony i certyfikatami. Nie trzeba odtwarzać backupu ręcznie ani przepisywać ustawień.
Mechanizm wirtualnych MAC‑ów powoduje, że po przełączeniu roli aktywny firewall przejmuje te same adresy IP i MAC na interfejsach WAN/LAN, więc stacje robocze, serwery i routery upstream nie zauważają zmiany. Failover trwa zwykle kilkadziesiąt sekund, a ruch wraca bez konieczności restartu klientów czy odświeżania DHCP. Całość jest zarządzana z jednego GUI – logujemy się zawsze na adres klastra, niezależnie od tego, który węzeł jest aktualnie aktywny.
Zalety takiego rozwiązania
Taki układ daje kilka kluczowych korzyści. Po pierwsze, wysoka dostępność firewalli bez skomplikowanej infrastruktury: dwa serwery Proxmox z lokalnymi dyskami wystarczą, żeby uzyskać odporność na awarię całego hosta. Po drugie, prostota administracji – konfiguracja jest wykonywana raz, na primary, a następnie automatycznie replikowana; aktualizacje, zmiany reguł czy certyfikatów nie wymagają dodatkowej pracy na drugim urządzeniu.
Po trzecie, elastyczność rozbudowy: w każdej chwili można dodać kolejne interfejsy (np. osobny link HA, osobne sieci DMZ czy VLAN‑y) i po jednym restarcie instancji wirtualnych uzyskać to samo odwzorowanie po obu stronach. Całość świetnie wpisuje się w filozofię homelabu i infrastruktur „as‑code” – Proxmox dostarcza stabilny fundament wirtualizacyjny, a Sophos HA zapewnia ciągłość działania bezpieczeństwa sieci bez potrzeby inwestowania w drogie, sprzętowe klastry.